防火墙命令（firewall-cmd）(iptables)

firewall

1、查看开放端口

firewall-cmd --list-ports
2、查看添加的规则
firewall-cmd --list-rich-rules
3、开放连续端口访问
firewall-cmd --permanent --zone=public  --add-port=2011-2055/tcp
4、开放端口
firewall-cmd --permanent --zone=public  --add-port=2011/tcp
5、针对某个IP开放端口
firewall-cmd --permanent --zone=public  -add-rich-rule='rule family="ipv4" source address="IP" port protocol="tcp" port="22" accept'  
6、删除开放端口
firewall-cmd --permanent --zone=public  --remove-port=2011/tcp
7、添加单个IP为白名单
firewall-cmd --permanent --zone=public  -add-rich-rule='rule family="ipv4" source address="IP" accept'  
8、删除白名单
firewall-cmd --permanent --zone=public  -remove-rich-rule='rule family="ipv4" source address="IP" accept'  
9、重载firewalld
firewall-cmd -reload
10、禁用ssh端口
firewall-cmd --permanent --remove-service=ssh

--permanent 永久生效，重启后规则不消失
不执行 firewall-cmd --reload 命令配置不生效

systemctl enable firewalld
1、检查firewalld状态 systemctl status firewalld
2、启动firewalld: systemctl start firewalld
3、关闭 firewalld: systemctl stop firewalld

iptables

1、指定表中新增链
iptables [-t filter] -N chain_name     ----默认filter表，可以不写表名
2、保存配置
service iptables save
3、增加规则
iptables -A 链名 -p 协议 --dport 端口号 -j ACCEPT        ----端口对外开放
iptables -A 链名 -p 协议 --dport 端口号 -j DROP        ----拒绝端口对外开放
iptables -A 链名 -p 协议 --dport 端口号 -j REJECT        ----拒绝端口对外开放，响应时间短
iptables -A 链名 -s IP/网段 -p 协议 --dport 端口号 -j ACCEPT        ----开放固定IP或者网段对端口访问权限
4、查看规则
iptables [-t filter] -NVl [chain_name] --line-number                --------查看指定链规则信息，不写链名查看全部规则
5、删除规则
iptables -D [-t 表名] 链名 规则行号                    ----删除某一条规则，默认filter表
6、清空规则
iptables -F [chain_name]                -----------清空指定链规则，链名不写则清空所有链规则
7、保存配置
service iptables save             ---------规则保存至/etc/sysconfig/iptables文件 重启后规则不消失
iptables-save > /opt/iptables ------- 保存至指定路径 后期可以使用保存文件恢复配置信息
8、恢复原有配置
iptables-restore < /opt/iptables  --使用保存文件恢复配置信息
9、删除指定链
iptables [-t filter] -X [chain_name] ---------不写链名时，则清空指定表下自定义链，默认filter表，删除前需要清空规则