firewalld命令参数详解

最新推荐文章于 2024-05-23 22:40:40 发布
最新推荐文章于 2024-05-23 22:40:40 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: 命令相关

firewall-cmd命令是Firewalld动态防火墙管理器服务的命令行终端。它的参数一般都是以“长格式”来执行的,但同学们也不用太过于担心,因为红帽RHEL7系统非常酷的支持了部分命令的参数补齐,也正好包括了这条命令,也就是说现在除了能够用Tab键来补齐命令或文件名等等内容,还可以用Tab键来补齐下列长格式参数啦(这点特别的棒)。

参数 作用
--get-default-zone 查询默认的区域名称。
--set-default-zone=<区域名称> 设置默认的区域,永久生效。
--get-zones 显示可用的区域。
--get-services 显示预先定义的服务。
--get-active-zones 显示当前正在使用的区域与网卡名称。
--add-source= 将来源于此IP或子网的流量导向指定的区域。
--remove-source= 不再将此IP或子网的流量导向某个指定区域。
--add-interface=<网卡名称> 将来自于该网卡的所有流量都导向某个指定区域。
--change-interface=<网卡名称> 将某个网卡与区域做关联。
--list-all 显示当前区域的网卡配置参数,资源,端口以及服务等信息。
--list-all-zones 显示所有区域的网卡配置参数,资源,端口以及服务等信息。
--add-service=<服务名> 设置默认区域允许该服务的流量。
--add-port=<端口号/协议> 允许默认区域允许该端口的流量。
--remove-service=<服务名> 设置默认区域不再允许该服务的流量。
--remove-port=<端口号/协议> 允许默认区域不再允许该端口的流量。
--reload 让“永久生效”的配置规则立即生效,覆盖当前的。

查看Firewalld服务当前所使用的zone区域:

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

查询eno16777728网卡在Firewalld服务中的zone区域:

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

把Firewalld防火墙服务中eno16777728网卡的默认区域修改为external,重启后再生效:

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public
[root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728
external

把Firewalld防火墙服务的当前默认zone区域设置为public:

[root@linuxprobe ~]# firewall-cmd --set-default-zone=public
success
[root@linuxprobe ~]# firewall-cmd --get-default-zone 
public

启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用。):

[root@linuxprobe ~]# firewall-cmd --panic-on
success
[root@linuxprobe ~]# firewall-cmd --panic-off
success

查询在public区域中的ssh与https服务请求流量是否被允许:

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
no

把Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --reload
success

把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http 
success
[root@linuxprobe ~]# firewall-cmd --reload 
success

把Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:

[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp

把原本访问本机888端口号的请求流量转发到22端口号,要求当前和长期均有效:

流量转发命令格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success

在客户机使用ssh命令尝试访问192.168.10.10主机的888端口:

[root@client A ~]# ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:此处输入远程root用户的密码
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10

在Firewalld防火墙服务中配置一条富规则,拒绝所有来自于192.168.10.0/24网段的用户访问本机ssh服务(22端口):

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success

在客户机使用ssh命令尝试访问192.168.10.10主机的ssh服务(22端口):

[root@client A ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.


可以编辑/etc/firewall/zones下的public.xml文件编辑firewall规则

例如:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
  <service name="https"/>
  <rule family="ipv4">
    <source address="123.123.123.123"/>
    <reject/>
  </rule>
  <rule family="ipv4">
    <source address="124.124.124.124"/>
    <service name="zabbix"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="111.111.111.111"/>
    <port protocol="tcp" port="1234"/>
    <accept/>
  </rule>
</zone>


service name为防火墙规则名称

规则目录为/usr/lib/firewalld/services

第一条开头某个ip禁止访问<reject/>

第二条增加了name标识允许ip访问

第三条针对某个ip开放访问端口

修改完后重新加载防火墙规则

firewall-cmd --reload


redis端口设置。允许192.168.142.166访问6379端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"

    删除规则

    firewall -cmd -- permanent -- remove -rich -rule = "rule family=" ipv4 " source address=" 192.168 .142 .166 " port protocol=" tcp " port=" 11300 " accept"

    systemctl restart firewalld.service


    leonnew
    关注
    • 0
      点赞
    • 2
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    专栏目录
    Firewalld的基本参数和简单使用方法
    小陌成长之路
    08-02 5589
    Firewalld即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器。Firewalld是一个服务,用于配置网络连接,从而哪些内外部网络的数据包可以允许穿过网络或阻止穿过网络。
    四、DM Manager工具使用
    不知道你是通过何种途径访问到这里,总之欢迎来到red velet的博客
    11-17 2997
    DM Manager工具使用、修改DM Manager工具显示语言、启用SQL助手(SQL Assist)功能、实战创建表空间、实战备份和恢复表文件
    linux防火墙篇--Firewalld防火墙基础
    最新发布
    aran2002的博客
    05-23 1176
    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
    linux如何关闭端口
    qq_63283137的博客
    02-01 9830
    前提:首先你必须知道,端口不是独立存在的,它是依附于进程的。某个进程开启,那么它对应的端口就开启了,进程关闭,则该端口也就关闭了。下次若某个进程再次开启,则相应的端口也再次开启。而不要纯粹的理解为关闭掉某个端口,不过可以禁用某个端口。
    WINDOWS 端口占用
    chilai2005的博客
    06-24 128
    netstat -aon | findstr 50000 查询端口占用 tasklist | findstr 5236 查询5236进程的程序 taskkill -F -PID 5236 杀死进程 ...
    防火墙命令行配置工具firewall-cmd命令自动补全方法
    superfreeman的专栏
    12-18 750
    linux 防火墙命令行配置自动补全方法
    Linux开放、关闭端口
    记录日常学习的内容和日常问题的解决
    10-08 5682
    开放端口:firewall-cmd --zone=public --add-port=3306/tcp--permanent 关闭端口:firewall-cmd --zone=public --remove-port=3306/tcp --permanent
    Linux命令.docx,
    05-27
    【Linux命令详解】 在Linux操作系统中,掌握基本的命令行操作是至关重要的。本文将详细介绍Linux命令行的一些常用命令和技巧,帮助你更好地理解和运用Linux系统。 1. **颜色编码**: Linux文件管理器中,不同颜色...
    nginx源码安装过程详解.doc
    04-29
    本篇文章将详细解析如何通过源码方式安装Nginx web服务器,这是一个常见的IT实践任务,特别是对于学习和管理Linux系统的人员。 首先,我们需要区分源码包和二进制包。源码包通常以.tar.gz或.zip等格式结尾,例如...
    centos7 用rpm安装mysql详解
    09-09
    同时,确保防火墙允许MySQL的默认端口(通常是3306)的入站连接,这可以通过`firewall-cmd --permanent --add-port=3306/tcp`命令实现,然后重启防火墙服务`sudo systemctl restart firewalld`。 以上就是使用RPM在...
    oracle11g RAC安装步骤详解
    12-11
    在本篇详细的知识点解析中,我们将聚焦于在CentOS 6.5 64位操作系统上安装Oracle 11g RAC的步骤。 **一、系统准备** 在开始Oracle 11g RAC安装前,确保你的CentOS系统已进行了必要的配置: 1. **更新系统**:运行...
    linux开放端口
    huchaun的博客
    12-20 395
    systemctl stop firewalld : 关闭防火墙 systemctl start firewalld : 开启防火墙 systemctl status firewalld : 查看防火墙状态 这个图是截自 【狂神说Java】Linux最通俗易懂的教程阿里云真实环境学习 p15节 哔哩哔哩里看的。 ...
    Linux 防火墙 firewall-cmd 详解
    热门推荐
    zouyh的博客
    07-14 1万+
    centos7版本对防火墙进行加强,不再使用原来的iptables,本文介绍了相关命令 另外也简要回顾了centos7之前的版本防火墙的相关命令
    CentOS:firewall使用命令参数命令参数说明
    Eternally_zl的博客
    04-26 624
    firewall语法 firewall(选项) 安装:yum install firewalld 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld...
    达梦8之非默认端口(5236)如何实现操作系统认证登录
    qq_37898570的博客
    09-16 2512
    达梦8之非默认端口(5236)如何实现操作系统认证登录
    防火墙firewall-cmd
    liyanggyang的博客
    12-22 1164
    防火墙firewall-cmd #centos7查看防火墙所有信息 firewall-cmd --list-all #centos7查看防火墙开放的端口信息 firewall-cmd --list-ports 开放/删除端口号 ##开放 firewall-cmd --zone=public --add-port=80/tcp --permanent ##删除端口 firewall-cmd --zone=public --remove-port=80/tcp --permanent ##开放多个端口:
    Linux 防火墙状态
    记得微笑的博客
    05-25 6327
    1.查看防火墙状态:active (running) 即是开启状态: systemctl status firewalld 2.查看已开发端口命令firewall-cmd --list-all 3.新增防火墙开放端口: firewall-cmd --zone=public --add-port=3306/tcp --permanent 4.开放端口后需要重新加载防火墙:firewall-cmd --reload 5.firewalld的基本使用命令: 启动: systemctl s.
    【CentOS】防火墙firewalld
    opt_cody的博客
    11-13 198
    CentOS7 采用firewalld作为防火墙,之前是采用iptables作为防火墙。服务器无法连接可能是防火墙限制的原因。 修改防火墙配置。修改完后需要重启生效:firewall-cmd --reload 1、直接修改配置文件:/etc/firewalld/zones/public.xml(白名单模式) <?xml version="1.0" encoding="utf-8...
    JAVA面试问题.docx
    06-11
    - `systemctl` 命令用于管理系统服务,如启动、停止和检查防火墙(firewalld)的状态。 - `reboot` 命令用于重启服务器。 - `shutdown -h now` 和 `init 3/5` 分别用于立即关机和切换到命令行/图形界面模式。 2....

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值