Linux防火墙Centos7的常用命令

一、防火墙查看状态

• 防火墙重新载入(必须重新载入后才能生效)

firewall-cmd --reload

• 防火墙查看基础状态

systemctl status firewalld #查看状态

• 查看 防火墙所有规则

firewall-cmd --list-all

• 查看rich-rules（富规则)

firewall-cmd --list-rich-rules

• 查看防火墙服务规则

firewall-cmd --list-services

• 查看防火墙所有区域的配置规则

firewall-cmd --list-all-zones

• 查看默认区域

firewall-cmd --get-default-zone

• 查看网络接口使用区域

firewall-cmd --get-active-zones

• 查看默认的可用服务

firewall-cmd --get-services

二、防火墙启动关闭命令

• 启动

systemctl start firewalld #启动

• 停止

systemctl stop firewalld #停止

• 重启

firewall-cmd –reload #重启

• 开机禁用

systemctl disable firewalld #开机禁用

• 开机启动

systemctl enable firewalld #开机启动

三、防火墙配置

防火墙配置命令

添加规则

• 在public中永久开放10022端口

firewall-cmd --zone=public --add-port=10022/tcp --permanent

--zone ：网络区域
--permanent：永久生效，没有此参数重启后失效

• 设置开放80端口开放

firewall-cmd --add-service=http –permanent #添加一个服务permanent

firewall-cmd --add-port=80/tcp –permanent	# permanent上开放一个80端口

• 允许192.168.1.10所有访问所有端口

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" accept' --permanent

• 允许192.168.2.0/24(0-255网段)所有访问所有端口

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.2.0/24" accept' --permanent

允许192.168.1.10所有访问TCP协议的22端口

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp accept' --permanent

移除规则

• 移除permanent服务

firewall-cmd --remove-service=http –permanent 

• 移除permanent服务上开放的80端口

firewall-cmd --remove-port=80/tcp –permanent

• 移除192.168.1.10所有访问所有端口

firewall-cmd --zone=public --remove-rich-rule 'rule family="ipv4" source address="192.168.1.10" accept' --permanent

防火墙配置文件

• 路径地址，作者只用zones的空间作为举例

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="cockpit"/>
  <port protocol="tcp" port="22/">
  <rule family="ipv4">
  	<source address="196.168.1.1"/>
  	<accept/>
  </rule>
  <rule family="ipv4">
    <source address="192.168.1.10"/>
    <port port="22" protocol="tcp"/>
    <accept/>
  </rule>
</zone>

• 向所有ip开放端口22

<port protocol="tcp" port="10022">

• 向ip：196.168.1.1开放所有端口

  <rule family="ipv4">
  	<source address="196.168.1.1"/>
  	<accept/>
  </rule>

• 允许ip：192.168.1.10 访问 22端口

  <rule family="ipv4">
    <source address="192.168.1.10"/>
    <port port="22" protocol="tcp"/>
    <accept/>
  </rule>