firewalld命令参数详解
firewall-cmd命令是Firewalld动态防火墙管理器服务的命令行终端。它的参数一般都是以“长格式”来执行的,但同学们也不用太过于担心,因为红帽RHEL7系统非常酷的支持了部分命令的参数补齐,也正好包括了这条命令,也就是说现在除了能够用Tab键来补齐命令或文件名等等内容,还可以用Tab键来补齐下列长格式参数啦(这点特别的棒)。
| 参数 | 作用 |
| --get-default-zone | 查询默认的区域名称。 |
| --set-default-zone=<区域名称> | 设置默认的区域,永久生效。 |
| --get-zones | 显示可用的区域。 |
| --get-services | 显示预先定义的服务。 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称。 |
| --add-source= | 将来源于此IP或子网的流量导向指定的区域。 |
| --remove-source= | 不再将此IP或子网的流量导向某个指定区域。 |
| --add-interface=<网卡名称> | 将来自于该网卡的所有流量都导向某个指定区域。 |
| --change-interface=<网卡名称> | 将某个网卡与区域做关联。 |
| --list-all | 显示当前区域的网卡配置参数,资源,端口以及服务等信息。 |
| --list-all-zones | 显示所有区域的网卡配置参数,资源,端口以及服务等信息。 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量。 |
| --add-port=<端口号/协议> | 允许默认区域允许该端口的流量。 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量。 |
| --remove-port=<端口号/协议> | 允许默认区域不再允许该端口的流量。 |
| --reload | 让“永久生效”的配置规则立即生效,覆盖当前的。 |
查看Firewalld服务当前所使用的zone区域:
[root@linuxprobe ~]# firewall-cmd --get-default-zone public
查询eno16777728网卡在Firewalld服务中的zone区域:
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728 public
把Firewalld防火墙服务中eno16777728网卡的默认区域修改为external,重启后再生效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728 success [root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728 public [root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728 external
把Firewalld防火墙服务的当前默认zone区域设置为public:
[root@linuxprobe ~]# firewall-cmd --set-default-zone=public success [root@linuxprobe ~]# firewall-cmd --get-default-zone public
启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用。):
[root@linuxprobe ~]# firewall-cmd --panic-on success [root@linuxprobe ~]# firewall-cmd --panic-off success
查询在public区域中的ssh与https服务请求流量是否被允许:
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh yes [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https no
把Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https success [root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https success [root@linuxprobe ~]# firewall-cmd --reload success
把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http success [root@linuxprobe ~]# firewall-cmd --reload success
把Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp success [root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 8080-8081/tcp
把原本访问本机888端口号的请求流量转发到22端口号,要求当前和长期均有效:
流量转发命令格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户机使用ssh命令尝试访问192.168.10.10主机的888端口:
[root@client A ~]# ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
[email protected]'s password:此处输入远程root用户的密码
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10
在Firewalld防火墙服务中配置一条富规则,拒绝所有来自于192.168.10.0/24网段的用户访问本机ssh服务(22端口):
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户机使用ssh命令尝试访问192.168.10.10主机的ssh服务(22端口):
[root@client A ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.
可以编辑/etc/firewall/zones下的public.xml文件编辑firewall规则
例如:
service name为防火墙规则名称
规则目录为/usr/lib/firewalld/services
第一条开头某个ip禁止访问
第二条增加了name标识允许ip访问
第三条针对某个ip开放访问端口
修改完后重新加载防火墙规则
firewall-cmd --reload
redis端口设置。允许192.168.142.166访问6379端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"删除规则
firewall -cmd -- permanent -- remove -rich -rule = "rule family=" ipv4 " source address=" 192.168 .142 .166 " port protocol=" tcp " port=" 11300 " accept"systemctl restart firewalld.service