Linux7.*操作系统防火墙命令相关

systemctl enable firewalld        # 开机启动
systemctl disable firewalld       # 取消开机启动
systemctl start firewalld         # 启动
systemctl stop firewalld          # 关闭
systemctl restart firewalld         #重新启动




各个区进行说明：
Zone                                    Description 
-----------------------------------------------------
drop (immutable)                 Deny all incoming connections, outgoing ones are accepted. 
block (immutable)                Deny all incoming connections, with ICMP host prohibited messages issued. 
trusted (immutable)             Allow all network connections 
public                            Public areas, do not trust other computers
external                          For computers with masquerading enabled, protecting a local network 
dmz                              For computers publicly accessible with restricted access.  
work                              For trusted work areas 
home                              For trusted home network connections 
internal                          For internal network, restrict incoming connections


drop（丢弃）
任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接。


block（限制）
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。


public（公共）
在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接。


external（外部）
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接。


dmz（非军事区）
用于您的非军事区内的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接。


work（工作）
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。


home（家庭）
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。


internal（内部）
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。


trusted（信任）
可接受所有的网络连接。




--显示防火墙状态
 firewall-cmd --state
--列出当前有几个zone
 firewall-cmd --get-zones
--列出zone public 端口
firewall-cmd --zone=public --list-ports
--------列出zone public 所有配置
firewall-cmd --zone=public --list-all
--添加端口
firewall-cmd --zone=public --add-port=8080/tcp --permanent  


---添加对地址的策略
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.212.33.33" service name="ssh" drop"    --对地址的禁止ssh访问
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.212.33.0/24" service name="ssh" reject"  --对地址段的禁止ssh访问


补充：
Linux防火墙内的策略动作有REJECT和DROP两种，区别如下：


1.、REJECT动作会返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)，明确的拒绝对方的连接动作，连接马上断开，Client会认为访问的主机不存在。
2、DROP动作只是简单的直接丢弃数据，并不反馈任何回应。需要Client等待超时，Client容易发现自己被防火墙所阻挡。