firewalld防火墙设置

转载：https://blog.csdn.net/ywd1992/article/details/80401630

一、查看防火墙开启状态

systemctl status firewalld

systemctl enable firewalld 开机自启动

二、端口设置

1、开放端口

开放端口

firewall-cmd --zone=public --add-port=3306/tcp --permanent

--permanent ： 永久开启

重新载入，使设置生效

firewall-cmd --reload

查看端口开放的状态

firewall-cmd --zone=public --query-port=3306/tcp

查看所有端口状态

firewall-cmd --zone=public --list-ports

2、关闭端口

firewall-cmd --zone=public --remove-port=3306/tcp --permanent

firewall-cmd --reload

3、批量开放或限制端口

批量打开

firewall-cmd --zone=public --add-port=100-500/tcp --permanent

firewall-cmd --reload

批量限制

firewall-cmd --zone=public --remove-port=100-500/tcp --permanent firewall-cmd --reload

三、IP设置

0、规则文件存放地址

/etc/firewalld/zones/public.xml

1、限制IP地址访问

限制IP为192.168.0.200的地址禁止访问80端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"

重新载入，使设置生效

firewall-cmd --reload

查看规则

firewall-cmd --zone=public --list-rich-rules

2、解除IP地址限制

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

重新载入，使设置生效

firewall-cmd --reload

查看规则

firewall-cmd --zone=public --list-rich-rules

3、限制IP地址段

限制10.0.0.0-10.0.0.255这一整个段的IP

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"

10.0.0.0/24表示为从10.0.0.0这个IP开始，24代表子网掩码为255.255.255.0，共包含256个地址，即从0-255共256个IP，即正好限制了这一整段的IP地址，具体的设置规则可参考下表

image.png

重新载入，使设置生效

firewall-cmd --reload

查看规则

firewall-cmd --zone=public --list-rich-rules

4、解除IP地址段

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"

firewall-cmd --reload