CentOS 防火墙配置(firewall)

常用的防火墙配置命令:

  • 查看所有防火墙规则: firewall-cmd --list-all-zones
  • 查看当前区域防火墙规则: firewall-cmd --list-all
  • 添加一个开放服务规则: firewall-cmd --add-service=ssh
  • 删除一个开放服务规则: firewall-cmd --remove-service=ssh
  • 查看一个开放服务是否添加成功: firewall-cmd --query-service=ssh
  • 查看一个开放服务配置路径: firewall-cmd --permanent --path-service=ssh
  • 添加一个开放端口规则: firewall-cmd --add-port=2000-2010/tcp
  • 删除一个开放端口规则: firewall-cmd --remove-port=2000-2010/tcp
  • 查看一个开放端口是否添加成功: firewall-cmd --query-port=2005/tcp
  • 重新加载配置规则: firewall-cmd --reload

1、查看防火墙状态

 systemctl status firewalld
 或者
 firewall-cmd --state
 #Active: active (running),防火墙已开启
 #Active: inactive (dead),防火墙已关闭

2、启动&停止&重启

systemctl start firewalld	#启动
systemctl stop firewalld	#停止
systemctl restart firewalld	#重启

2、允许\禁止开机自启动

systemctl enable firewalld		#允许
systemctl disable firewalld		#禁止

4、查看防火墙规则

firewall-cmd --list-all
-----------------------------------------
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 4400-4600/udp 4400-4600/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

5、查看端口列表

firewall-cmd --list-ports
-----------------------
4400-4600/udp 4400-4600/tcp

6、查看指定端口是否开启

firewall-cmd --query-port=3306/tcp
--------------------------------
no

firewall-cmd --query-port=4400/tcp
--------------------------------
yes

7、添加端口

firewall-cmd --add-port=9001/tcp --permanent  #添加单个端口

firewall-cmd --add-port=65001-65010/tcp --permanent	#批量添加区间端口

firewall-cmd --reload         #一定要重载下

# 查看是否添加成功
firewall-cmd --list-ports    
-------------------------
4400-4600/udp 4400-4600/tcp 2888/tcp 9001/tcp 65001-65010/tcp

======================================================
`–permanent 永久生效 / 否则重启失效
–zone 作用域 一般都是public , 可以使用firewall-cmd --list-all-zones命令查看当前使用的域
–add-service 添加服务
–add-port 添加端口, 格式为 端口号/端口协议`

8、删除端口

firewall-cmd --remove-port=9001/tcp --permanent 	#删除指定端口
firewall-cmd --reload   

9、重新加载(修改防火墙规则后需要执行reload)

firewall-cmd --reload    

10、端口转发路由

# 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   


# 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 


# 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080

11、获取支持的区域列表

 firewall-cmd --get-zones

12、获取所有支持的服务

 firewall-cmd --get-services

13、获取所有支持的ICMP类型

 firewall-cmd --get-icmptypes

14、列出全部启用的区域的特性

 firewall-cmd --list-all-zones

15、扩展命令

# 检查是否允许伪装IP
firewall-cmd --query-masquerade  
# 允许防火墙伪装IP
firewall-cmd --add-masquerade    
# 禁止防火墙伪装IP
firewall-cmd --remove-masquerade 
  • firewalld配置目录: /etc/firewalld/
  • 默认区域配置目录: /usr/lib/firewalld/zones
  • 默认服务配置目录: /usr/lib/firewalld/services
  • 自定义区域规则配置目录: /etc/firewalld/zones

使用之前,几个需要理解的概念。

  • drop :类似于iptables的DROP,丢弃入口网络数据包不应答,出口网络数据包不限制。
  • block :类似REJECT,拒绝入口网络数据包,对于IPv4应答icmp-host-prohibited类型ICMP消息,对于IPv6应答icmp-adm-prohibited类型ICMP消息,
  • public :类似ACCEPT,接收入口网络数据包,但不信任外部请求是否会破坏主机。
  • trusted :接收所有连接数据。
  • external :用于在启用伪装的外部网络上,尤其是针对路由器。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
  • dmz :适用于您的非军事区内的计算机,这些计算机可公开访问,但对您的内部网络的访问受到限制。仅接受选定的传入连接。
  • work :用于工作区域。通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
  • home :用于家庭区域。您通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
  • internal :用于内部网络。您通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。

CentOS 防火墙配置(firewall)_第1张图片

你可能感兴趣的:(centos,网络,linux)