yum install firewall-config 下载图形管理命令
firewall-config #使用命令调出图形
watch -n 1 'firewall-cmd --list-all'#监控firewalld的变化
测试:添加服务和端口
runtime临时更改
permanent永久更改(reload)firewalld的配置文件
firewalld进行所有的命令,均是改变此中文件/etc/firewalld/zones中的文件的内容,也可在文件中直接改动,改完后需要进行重启服务。
vim /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="ftp"/> #添加ftp服务
</zone>
systemctl restart firewalld
firewalld的基本使用命令
启用命令
systemctl start firewalld #开启防火墙
systemctl enable firewalld #开机自动开启防火墙
systemctl stop firewalld #关闭防火墙
systemctl disable firewalld #开机不自动开启防火墙
配置火墙命令
各种域的名称和配置:
firewall-cmd --state #火墙状态,开启或者停止
firewall-cmd --get-active-zones #正在活跃的火墙域
firewall-cmd --get-default-zone #火墙中默认的域
firewall-cmd --get-zones #火墙中所有存在的域
firewall-cmd --zone=public --list-all #查看public域中的所有信息
firewall-cmd --get-services #火墙中所有可以提供的服务
firewall-cmd --set-default-zone=dmz #将dmz域设置为默认的域
firewall-cmd --permanent --zone=public --add-service=ssh #给public域中添加服务ssh
firewall-cmd --permanent --zone=public --remove-service=http #删除public域中的服务http
firewall-cmd --permanent --zone=public --add-port=8080/tcp #给public域中添加tcp端口8080
firewall-cmd --zone=public --list-ports #查看public域中所有端口
firewall-cmd --permanent --zone=public --add-source=172.25.254.50/24 #此ip在访问时可以进行火墙中的任何服务,走的是public这个域
firewall-cmd --reload #重新加载火墙配置,不会中断正在使用的
firewall-cmd --permanent --zone=dmz --change-interface=eth1 #将eth1域改为dmz
测试:此时http访问172.25.254.150时,走的eth1,dmz域,不能访问
http访问172.25.50.150时,eth0走的是public域,可以访问
firewall-cmd --permanent --zone=public --add-interface=eth1 #将eth1添加到public域
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.50 -p tcp --dport 21 -j REJECT #拒绝该主机访问21端口
目的地地址转发,路由之前
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.50 #别人连接我的22端口时,将目标地址转换到别处去
此时,172.25.50.110主机连接172.25.254.150时,连到了172.25.254.50主机上
源地址转换:firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.50 masquerade'
此时用172.25.254.150及写策略主机ssh连接172.25.50.110主机,现实此时连接该主机为172.25.254.50