Firewalld常用命令整理

         防火墙的配置在网络安全领域十分重要，无论你是想为公司的防火墙配置入站出站规则防止恶意流量进入，还是当发现恶意流量之后要对恶意流量的来源IP进行封锁，都会使用到防火墙的配置规则。当然配置规则的方法有很多，可以直接写在防火墙的配置文件中，也可以通过iptable进行配置，本文主要整理了一下firewalld对防火墙进行配置的常用命令，以后在学习和工作中方便查看。

一、开启firewalld服务

systemctl start firewalld

 使用firewalld服务的前提需要安装服务，可以使用sudo apt-get install firewalld进行安装

二、查看防火墙基本状态

列出防火墙的所有配置：
firewall-cmd --list-all

查看防火墙状态：
firewall-cmd --status

 三、富规则

添加指定ip访问指定端口规则
firewall-cmd --add-rich-rule 'rule family="ipv4" source address="1.1.1.1" port="80" port protocol="tcp" accept'

删除指定ip访问指定端口规则
firewall-cmd --remove-rich-rile 'rule family="ipv4" source address="1.1.1.1" port="80" port protocol="tcp" accept'

禁止某个ip访问
firewall-cmd --add-rich-rule 'rule family="ipv4" source address="1.1.1.1" drop'

允许ping
firewall-cmd --add-rich-rule 'rule family="ipv4" protocol value="icmp" accept'

接受1.1.1.0/24网段的所有ip访问ssh服务
filewall-cmd -add-rich-rule 'rule family="ipv4" source address="1.1.1.0/24" service name="ssh" accept'


ps:添加参数--permanent可以使所有富规则永久保存，在下次重启防火墙时不会消失

 四、端口转发

将8888端口的流量转发到80端口
firewall-cmd --add-forward-port=port=8888:proto=tcp:toport=80

取消转发
firewall-cmd --remove-forward-port=port=8888:proto=tcp:toport=80

要想转发到非本地的端口需要开启ip伪装
开启伪装命令
firewall-cmd --add-masquerade
禁止伪装命令
firewall-cmd --remove-masquerade


将本机8888端口的流量映射带192.168.189.186的80端口
firewall-cmd --add-forward-port=port=8888:proto=tcp:toaddr=192.168.189.186:toport=80

 五、防火墙配置重载

         在配置好后要运行firewall-cmd reload进行重载之后配置才会生效