firewalld命令-一般正式项目安装下面添加规则就行
firewall-cmd --permanent --zone=drop --change-interface=ens33
firewall-cmd --permanent --zone=drop --add-protocol=icmp
#firewall-cmd --permanent --zone=drop --add-port=22/tcp 拒绝
#firewall-cmd --permanent --zone=drop --add-port=8080/tcp
#firewall-cmd --permanent --zone=drop --add-port=80/tcp
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="22" accept" #192.168.1.1/24,不只是一个IP,类似于iptables(1.0网段写法)
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="12321" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="21" accept"
firewall-cmd --permanent --zone=drop --add-masquerade
firewall-cmd –add-service=ftp –permanent #永久开发ftp服务,#ftp被动模式可以访问,加上这条命令xftp被动模式可以访问
firewall-cmd --reload
firewall-cmd --list-all
参数解释
#protocols:允许/拒绝通过的协议
#--change-interface=<网卡名称> #例如ens33或者bond1(bond1是网卡绑定)
#masquerade:是否允许伪装(yes/no),可改写来源IP地址及mac地址
#--add-port=<端口号/协议>
#--remove-port=<端口号/协议>
#--reload #让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
#--list-all 查看默认区域设置
#####firewall-cmd --list-all 查看显示 {drop (active) #target: DROP—} drop 拒绝进入的流量,除非与出去的流量相关
#参考firewalld解释链接
https://blog.csdn.net/qq_57258570/article/details/122333142