firewalld 防火墙常用命令
防火墙状态命令
systemctl start firewalld #启动防火墙
systemctl stop firewalld #关闭防火墙
systemctl restart firewalld #重启防火墙
systemctl enable firewalld #设置开机自启
systemctl disable firewalld #禁用开机自启
systemctl status firewalld #查看防火墙状态
如下图显示active(runing)表示防火墙在运行状态
如下图显示inactiv(dead)表示防火墙处于停止的状态
还可以使用firewall-cmd查看
firewall-cmd --state #查看当前防火墙状态
如下图显示running表示防火墙处于运行的状态
如下图显示not running 表示防火墙处于停止的状态
查看现有区域及服务命令
查看防火墙默认区域
firewall-cmd --get-default-zone
如下图显示默认区域为public
查看当前防火墙所有可以使用的区域
firewall-cmd --get-zones
如下图当前可用区域有:block dmz docker drop external home internal public trusted work
查看预定义的服务列表
firewall-cmd --get-services
例如ssh服务、tftp服务等。
查看当前区域及网络接口
firewall-cmd --get-active-zones
如下图显示docker区域和public区域对应的网卡接口有docker0和ens32
查看区域配置命令
查看区域所有配置
练习场景:查看public区域的所有配置
firewall-cmd --zone=public --list-all
frewall-cmd 防火墙命令
–zone= 选择查看的区域;区域为:public
–list-all 列出所有配置的规则
如下图:
interfaces: ens32 网卡名
services: ssh dhcpv6-client 允许的服务
ports: 222/tpc 允许的端口222,协议tcp
关于服务配置命令
练习场景:将http服务加入防火墙
在防火墙添加服务
firewall-cmd --zone=public --add-service=http --permanent
–zone= 要配置的区域; 区域为:public
–add-service= 要添加的服务; 服务为:http
–permanent 永久生效
练习场景:将dhcpv6-client服务删除
删除服务
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
–zone= 要配置的区域; 区域为:public
–remover-service= 要删除的服务; 服务为:dhcpv6-client
–permanent 永久生效
重新加载防火墙
firewall-cmd --reload
注意:每一次修改防火墙规则都要执行重新加载命令
查看当前开放的服务
firewall-cmd --zone=public --list-services
–zone= 要查看的区域; 区域为:pulic
–list-services 所有的服务
关于端口配置命令
练习场景:在public区域,添加555端口,协议为TCP
在防火墙添加端口
firewall-cmd --zone=public --add-port=555/tcp --permanent
–zone= 要配置的区域; 区域为:public
–add-port= 要添加的端口;端口为555,tcp协议
–permanent 永久生效
练习场景:在public区域,删除666端口,协议为TCP
在防火墙删除端口
firewall-cmd --zone=public --remove--port=666/tcp --permanent
–zone= 要配置的区域; 区域为:public
–remove–port= 要删除的端口;端口为:666,tcp协议
–permanent 永久生效
重新加载防火墙
firewall-cmd --reload
注意:每一次修改防火墙规则都要执行重新加载命令
查看当前开放的端口
firewall-cmd --list-ports
允许某个地址访问指定端口命令
练习场景:在public区域,允许192.168.1.20访问443端口
在防火墙上添加指定IP地址访问端口
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.20" port protocol="tcp" port="443" accept' --permanent
–zone= 要配置的区域; 区域为:public
–add-rich-rule= 添加自定义规则使用单引号将规则括起来
rule family=“ipv4” 指定IPV4地址
source address=“192.168.1.20” 指定源地址为:192.168.1.20
port protocol=“tcp” 指定协议为:TCP协议
port=“443” 指定端口为:443端口
accept 表示允许
–permanent 永久生效
firewall-cmd --reload 重新加载防火墙配置
如若删除此策略将–add-rich-rule修改为–remove-rich-rule
firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.20" port protocol="tcp" port="443" accept' --permanent
如禁止192.168.1.20访问443端口,将accept修改为reject
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.20" port protocol="tcp" port="443" reject' --permanent
重新加载防火墙
firewall-cmd --reload
注意:每一次修改防火墙规则都要执行重新加载命令
查看自定义防火墙配置
firewall-cmd --zone=public --list-rich-rules
