firewall

 # firewall-cmd --list-all

查询端口开放情况

 # firewall-cmd   --query-port=80/tcp

开放80端口

# firewall-cmd  --permanent --add-port=80/tcp

移除端口

# firewall-cmd  --permanent --remove-port=80/tcp

重启

# firewall-cmd --reload

信任级别，通过Zone的值指定

drop: 丢弃所有进入的包，而不给出任何响应 
block: 拒绝所有外部发起的连接，允许内部发起的连接 
public: 允许指定的进入连接 
external: 同上，对伪装的进入连接，一般用于路由转发 
dmz: 允许受限制的进入连接 
work: 允许受信任的计算机被限制的进入连接，类似 workgroup 
home: 同上，类似 homegroup 
internal: 同上，范围针对所有互联网用户 
trusted: 信任所有连接    




# firewall-cmd --zone=public --add-port=80/tcp --permanent

管理服务

添加：
firewall-cmd --zone=work --add-service=smtp

查看：
firewall-cmd --zone=work --query-service=smtp

删除：
firewall-cmd --zone=work --remove-service=smtp

配置 IP 地址伪装

查看：
firewall-cmd --zone=external --query-masquerade

打开：
firewall-cmd --zone=external --add-masquerade

关闭：
firewall-cmd --zone=external --remove-masquerade

端口转发

打开端口转发，首先需要打开IP地址伪装
　　firewall-cmd --zone=external --add-masquerade
 
转发 tcp 22 端口至 3753：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753

转发端口数据至另一个IP的相同端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112

转发端口数据至另一个IP的 3753 端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112

systemctl

启动一个服务：systemctl start firewalld.service

关闭一个服务：systemctl stop firewalld.service

重启一个服务：systemctl restart firewalld.service

显示一个服务的状态：systemctl status firewalld.service

在开机时启用一个服务：systemctl enable firewalld.service

在开机时禁用一个服务：systemctl disable firewalld.service

查看服务是否开机启动：systemctl is-enabled firewalld.service

查看已启动的服务列表：systemctl list-unit-files|grep enabled

查看启动失败的服务列表：systemctl --failed