Linux防火墙相关命令

神经飞鱼

已于 2024-01-05 16:11:01 修改

阅读量1.4k

点赞数 25

分类专栏： shell 文章标签： linux

于 2024-01-05 16:01:49 首次发布

本文链接：https://blog.csdn.net/KouHao123/article/details/135411913

版权

shell 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

防火墙相关命令

在linux环境中，不同的操作系统，防火墙的命令是有差异的。Centos7使用的是firewall，之前的版本使用iptables。

CentOS7

1.查看防火墙状态

systemctl status firewalld
#或者
firewall-cmd --state

2.启动防火墙

systemctl start firewalld.service

若无法启动，按顺序执行如下命令：

systemctl unmask firewalld.service
systemctl start firewalld.service

3.关闭防火墙

systemctl stop firewalld.service

4.重启防火墙

systemctl retart firewalld.service
#或者
firewall-cmd --reload

5.启动开机启动防火墙

systemctl enable firewalld.service

6.关闭开机启动防火墙

systemctl disable firewalld.service

7.检查是否开机启用防火墙

systemctl is-enabled firewalld.service

8.查询某个端口是否开发

firewall-cmd --query-port=80/tcp

9.查询已开放的端口列表

firewall-cmd --list-port

10.增加开放端口

#--permanent永久生效，没有此参数重启后失效，格式为：端口/通讯协议
firewall-cmd --zone=public --add-port=80/tcp --permanent

11.移除开放端口

firewall-cmd --zone=public --remove-port=80/tcp --permanent
# 或者
firewall-cmd --permanent --remove-port=123/tcp #永久生效，没有permanent参数重启后失效

12.firewall-cmd命令

防火墙操作命令

firewall-cmd
--zone #作用域
--add-port=80/tcp #添加端口，格式为：端口/通讯协议
--remove-port=80/tcp #移除端口，格式为：端口/通讯协议
--permanent #永久生效，没有此参数重启后失效
--list-port #开放端口
--query-port=80/tcp #查询端口
--version #查看版本
--help #查看帮助文档
--state #显示状态
--reload #更新防火墙
--get-active-zones #查看区域信息
--panic-on #拒绝所有包
--panic-off #取消拒绝状态
--query-panic #查看是否拒绝

CentOS6

1.查看防火墙状态

service iptables status

2.启动防火墙

service iptables start

3.关闭防火墙

service iptables stop

4.启动开机启动防火墙

chkconfig -add iptables

5.关闭开机启动防火墙

chkconfig -del iptables

6.查看开机启动服务列表

centos6的服务启动脚本都放在/etc/rc.d/init.d/下，/etc/init.d/是/etc/rc.d/init.d/的软链接；

chkconfig --list

7.iptables命令

语法格式
```
iptables [-t 表名] 命令选项 ［链名］［条件匹配］ ［-j 目标动作或跳转］
```
- -t：指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表
- 命令选项：子命令，定义对规则的管理
- 链名：规则链，与规则表配合
- 条件匹配：匹配参数
- ACTION：触发动作

示例

iptables -t filter -I INPUT -s 192.xx.xxx.xxx -p tcp --dport 3306 -j ACCEPT

规则表

名称	包含的链表	描述
filter	INPUT、FORWARD、OUTPUT	过滤数据包
Nat	PREROUTING、POSTROUTING、OUTPUT	用于网络地址转换（IP、端口）内核模块：iptable_nat
Mangle	PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD	修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
Raw	OUTPUT、PREROUTING	决定数据包是否被状态跟踪机制处理内核模块：iptable_raw

命令选项规则

选项	功能
-A	添加防火墙规则
-D	删除防火墙规则
-I	插入防火墙规则
-F	清空防火墙规则
-L	列出添加防火墙规则
-R	替换防火墙规则
-Z	清空防火墙数据表统计信息
-P	设置链默认规则

规则链详情

名称	描述
INPUT	进来的数据包应用此规则链中的策略
OUTPUT	外出的数据包应用此规则链中的策略
FORWARD	转发数据包时应用此规则链中的策略
PREROUTING	对数据包作路由选择前应用此链中的规则
POSTROUTING	对数据包作路由选择后应用此链中的规则

条件匹配

参数	功能
[!]-p	匹配协议，! 表示取反
[!]-s	匹配源地址
[!]-d	匹配目标地址
[!]-i	匹配入站网卡接口
[!]-o	匹配出站网卡接口
[!]–sport	匹配源端口
[!]–dport	匹配目标端口
[!]–src-range	匹配源地址范围
[!]–dst-range	匹配目标地址范围
[!]–limit	四配数据表速率
[!]–mac-source	匹配源MAC地址
[!]–sports	匹配源端口
[!]–dports	匹配目标端口
[!]–stste	匹配状态（INVALID、ESTABLISHED、NEW、RELATED)
[!]–string	匹配应用层字串

目标动作或跳转

触发动作	功能
ACCEPT	允许数据包通过
DROP	丢弃数据包
REJECT	拒绝数据包通过
LOG	将数据包信息记录 syslog 曰志
DNAT	目标地址转换
SNAT	源地址转换
MASQUERADE	地址欺骗
REDIRECT	重定向