Firewalld快速入门指南

Firewalld是CentOS 7和其他基于Red Hat或SUSE Linux的现代发行版的默认软件防火墙。本快速入门指南概述了一些帮助调试Firewalld的有用命令和技术。

验证firewalld是激活的

$ firewall-cmd --state

running

检查分配给活动接口的区域

$ firewall-cmd --get-active-zones

public

    interfaces: ens3

检查允许哪些端口和服务

假设您的活动区域是公共的，这个快速检查揭示了什么流量是允许的。

$ firewall-cmd --zone=public --list-ports

7000-8000/tcp

 firewall-cmd --zone=public --list-services

cockpit dhcpv6-client ssh

例如:允许SSH

假设活动区域是公共的，使用这两种方法之一来允许SSH。

$ firewall-cmd --zone=public --add-service=ssh

或者

# firewall-cmd --add-port=22/tcp

紧急模式

放弃所有的数据包

作为root用户，使用——panic-on开关。

# firewall-cmd --panic-on

所有数据包都将被丢弃。活动连接将在一段时间不活动后终止。

紧急模式关闭

作为root用户，使用——panic-off开关。

# firewall-cmd --panic-off

检查紧急状态

firewall-cmd --query-panic && echo "enabled" || echo "Not enabled"

永久配置与临时配置

临时的变化会导致一个常见的问题;服务器按预期工作，直到下一次重新启动。确保永久保存配置。

要使命令永久，请将——permanent选项添加到除——direct命令之外的所有命令(这些命令本质上是临时的)。使用——permanent选项进行的设置直到下一次防火墙重新加载、服务重新启动或系统重新启动时才生效。没有使用——permanent选项的设置将立即生效，但仅在下一次重新加载防火墙、系统引导或重新启动服务之前有效。

禁用firewalld

作为root用户，屏蔽并禁用服务。

# systemctl mask --now firewalld.service

# systemctl disable --now firewalld.service