配置Firewall防火墙服务常用命令

来源 | FaithSinan
https://faithsinan.github.io

前言：

在Linux环境中的防火墙设置、端口开放关闭，都是由firewalld服务进行管理的，
firewalld的firewalld-cmd就是用来修改配置防火墙的命令行客户端，类似于windows中的cmd一样。

一、环境

centos 7

二、常用命令：

1、查看zone（作用域）信息

$ firewall-cmd --list-all-zones		#显示防火墙所有域配置信息

$ firewall-cmd --get-active-zones		#查看活动中的域

2、开放关闭某项服务

$ firewall-cmd --zone=public --add-service=http --permanent    #在public永久开放某项服务,例如http，添加--permanent永久生效，不加重启失效

$ firewall-cmd --zone=public --remove-service=http --permanent   #在public永久移除某项服务，例如http

$ firewall-cmd --zone=public --list-services		#查看public作用域中的服务

3、开放关闭某端口

$ firewall-cmd --zone=public --add-port=80/tcp --permanent  #在public中永久开放某端口，例如80

$ firewall-cmd --remove-port=80/udp --permanent		#永久移除某端口

4、重新加载配置

firewall-cmd --reload   #重新加载才会立即生效

5、firewall防火墙启动与关闭

$ systemctl start firewalld.service		#开启防火墙服务

$ systemctl restart firewalld.service		#重启防火墙服务

$ systemctl stop firewalld.service		#关闭防火墙服务

$ systemctl enable firewalld.service		#开机自动启动

$ systemctl disable firewalld.service		#关闭开机自动启动

6、查看监听的端口

$ netstat -lntp		#查看所有在运行端口信息

$ netstat -lnp | grep 80	#查看端口被哪个进程占用

四、注释：

zone（作用域）:
丢弃区域（Drop Zone）：如果使用丢弃区域，任何进入的数据包将被丢弃。这个类似与我们之前使用iptables -j drop。使用丢弃规则意味着将不存在响应，只有流出的网络连接有效。
阻塞区域（Block Zone）：阻塞区域会拒绝进入的网络连接，返回icmp-host-prohibited，只有服务器已经建立的连接会被通过。
公共区域（Public Zone）：只接受那些被选中的连接，而这些通过在公共区域中定义相关规则实现。服务器可以通过特定的端口数据，而其它的连接将被丢弃。
外部区域（External Zone）：这个区域相当于路由器的启用伪装（masquerading）选项。只有指定的连接会被接受，而其它的连接将被丢弃或者不被接受。
隔离区域（DMZ Zone）：如果想要只允许给部分服务能被外部访问，可以在DMZ区域中定义。它也拥有只通过被选中连接的特性。
工作区域（Work Zone）：在这个区域，我们只能定义内部网络。比如私有网络通信才被允许。
家庭区域（Home Zone）：这个区域专门用于家庭环境。我们可以利用这个区域来信任网络上其它主机不会侵害你的主机。它同样只允许被选中的连接。
内部区域（Internal Zone）：这个区域和工作区域（Work Zone）类似，只有通过被选中的连接。
信任区域（Trusted Zone）：信任区域允许所有网络通信通过。

Ps: 以上内容仅供参考，不足之处敬请指正，转载请注明出处。

作者更多 靠谱、易懂、可复现的 技术文章尽在公众号 FaithSinan。
欢迎扫码关注，一起学习交流，获取第一时间更新