使用firewall-cmd命令在Linux 防火墙中添加永久端口规则

firewall-cmd --zone=$zone --add-port=$1/tcp --permanent >> "${logfile}"

这是一个 `firewall-cmd` 命令，它是 `firewalld` 的命令行界面，用于配置 Linux 防火墙。让我们详细解析这个命令：

firewall-cmd --zone=$zone --add-port=$1/tcp --permanent >> "${logfile}"

1. **firewall-cmd**: 这是 `firewalld` 的命令行工具，用于查询或更改防火墙规则。
2. **--zone=$zone**: 这指定了防火墙区域。在 `firewalld` 中，区域是一种定义信任级别的机制，每个区域有一组与之关联的规则。例如，`public`、`home`、`dmz`、`work`、`external` 等都是预定义的区域。`$zone` 是一个变量，它应该在此命令执行之前被定义并赋值。
3. **--add-port=$1/tcp**: 这表示要添加一个新的端口规则。`$1` 是一个脚本参数，它应该在此命令执行之前被定义并赋值。例如，如果 `$1` 的值是 `8080`，那么这个命令将会尝试在指定的区域中添加一个允许 TCP 流量通过端口 8080 的规则。
4. **--permanent**: 这个选项表示更改是永久性的。如果没有这个选项，更改只会持续到下次重启，之后防火墙将恢复到其默认配置。但是，使用 `--permanent` 选项后，更改会保存到防火墙的配置文件中，因此即使在重启后也会保持。
5. **>> "${logfile}"**: 这部分是将命令的输出（在这种情况下，通常是任何关于成功或失败的消息）追加到一个名为 `logfile` 的文件中。`${logfile}` 是一个变量，它应该在此命令执行之前被定义并赋值，代表日志文件的路径。

**举例**：

假设你有一个脚本，它接受一个端口号作为参数，并希望在一个名为 `myzone` 的自定义区域中永久地打开该端口。同时，你希望将任何输出记录到 `/var/log/firewall.log` 文件中。

你可以这样写脚本：

#!/bin/bash

# 定义变量
zone="myzone"
logfile="/var/log/firewall.log"

# 检查是否提供了端口号作为参数
if [ -z "$1" ]; then
    echo "Usage: $0 <port_number>"
    exit 1
fi

# 添加端口规则
firewall-cmd --zone=$zone --add-port=$1/tcp --permanent >> "${logfile}"

# 重新加载防火墙以应用更改
firewall-cmd --reload >> "${logfile}"

然后，你可以通过以下方式运行脚本：

./scriptname.sh 8080

这将在 `myzone` 区域中永久地打开 TCP 端口 8080，并将任何输出追加到 `/var/log/firewall.log` 文件中。注意，在添加新的端口规则后，通常需要重新加载防火墙以使更改生效。这就是为什么在脚本中有 `firewall-cmd --reload` 命令的原因。