CentOS7默认防火墙 firewalld简单使用
特点
- firewalld对比 iptables优点是支持动态更新, 每次更改规则可以不重启服务
- 加入了
zone
(域)的概念 - 与 iptables相同之处是都是使用 Linux内核上的 netfilter来实现防火墙的
安装
- yum install firewalld
启动
- systemctl start firewalld 或 systemctl start firewalld.service
关闭
- systemctl stop firewalld 或 systemctl stop firewalld.service
重启
- systemctl restart firewalld 或 systemctl restart firewalld.service
查看状态
- systemctl status firewalld 或 systemctl status firewalld.service
开机启用
- systemctl enable firewalld 或 systemctl enable firewalld.service
开机禁用
- systemctl disable firewalld 或 systemctl disable firewalld.service
firewall-cmd命令
常用参数 | 说明 |
---|---|
--help | 查看帮助 |
--state | 查看状态 |
--reload | 不中断服务的重新加载 |
--complete-reload | 中断服务的重新加载 |
--runtime-to-permanent | 将当前防火墙的规则永久保存 |
--get-zones | 查看所有的域 block dmz drop external home internal public trusted work |
--zone | --zone=<zone> 指定域 |
--get-active-zones | 查看当前活动域 |
--get-default-zone | 查看默认域 |
--set-default-zone | 设置默认域 |
--list-ports | 查看所有打开的端口 |
--add-port | --add-port=<portid>[-<portid>]/<protocol> 指定要打开的端口和协议 |
--remove-port | --remove-port=<portid>[-<portid>]/<protocol> 删除已打开的端口和协议 |
--query-port | --query-port=<portid>[-<portid>]/<protocol> 查看指定的端口和协议是否存在 |
--list-all | 查看 --zone 域的相关信息 |
--permanent | 永久保存, 无此参数重启后失效 |
--direct | 直接模式, 可以使用iptables, ip6tables中的规则进行配置 |
--get-all-rules | 查看一配置的所有规则 |
实例
查看指定 public域的所有打开的端口
- firewall-cmd --zone=public --list-ports
打开[协议 tcp的80端口]同时永久保存
- firewall-cmd --zone=public --add-port=80/tcp --permanent
删除配置中的[协议 tcp的80端口]同时永久保存
- firewall-cmd --zone=public --remove-port=80/tcp --permanent
查看通过直接模式配置的所有规则
- firewall-cmd --direct --get-all-rules
拒绝所有 IP访问22端口
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -j REJECT
指定允许的 IP:192.168.2.25访问 端口:22
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.25 -j ACCEPT
拒绝单一的 IP:192.168.2.26访问 端口:22
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.26 -j REJECT
指定删除已配置的规则
- firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.26 -j REJECT
如果您觉得有帮助,欢迎点赞哦 ~ 谢谢!!