管理工具:
firewalld-cmd
防火墙预设安全区域
public:仅允许访问本机的sshd、DHCP、ping等少量服务
trusted:允许任何访问
block:拒绝任何来访请求,有明确回应
drop:拒绝任何来访请求,没有任何回应(丢弃)
systemctl status firewalld
查看
firewalld
运行状态
systemctl start firewalld
开启防火墙
firewall-cmd
--get-default-zone
查看默认区域
firewall-cmd --zone=区域名
--list-all
查看区域规则
例如:
查看
public所有规则
firewall-cmd --zone=public --list-all
public (active)
target: default #默认区域
icmp-block-inversion: no
interfaces: ens32
sources:
services: ssh dhcpv6-client #允许访问的服务
firewall-cmd --set-default-zone=区域名
修改默认区域
例如:
将默认区域修改为
block
firewall-cmd
--set-default-zone
=
block
success
firewall-cmd
--get-default-zone
block
#
将默认区域修改为
dorp
firewall-cmd
--set-default-zone
=
drop
success
firewall-cmd
--get-default-zone
drop
#
将默认区域修改为
public
firewall-cmd
--set-default-zone
=
public
success
firewall-cmd
--get-default-zone
public
为
public
区域添加
http
协议(临时),使用
--add-service=
服务名
firewall-cmd
--zone
=
public
--add-service
=
http
success
firewall-cmd
--zone
=
public
--list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services:
ssh
dhcpv6-client http
#
添加
http
协议
#
为
public
区域永久添加
http
协议(必须要先临时添加在执行永久添加)
#
若针对永久配置需添加
--permanent
firewall-cmd
--permanent --zone
=
public
--add-service
=
http
success
#
临时移除
firewall-cmd
--zone
=
public
--remove-service
=
http
#
永久移除
firewall-cmd
--permanent --zone
=
public
--remove
service
=
http
#
永久修改需重新加载防火墙配置
firewall-cmd
--reload
针对IP地址规则配置
使用
--add-source=
网段地址
单独拒绝某一个
IP
(临时)
firewall-cmd
--zone
=
block
--add-source
=
192
.168.0.24
firewall-cmd
--zone
=
block
--list-all
block (active)
target: %%REJECT%%
icmp-block-inversion: no
interfaces:
sources:
192
.168.0.24
删除规则:--remove-source
firewall-cmd
--zone
=
block
--remove-source
=
192
.168.0.24
firewall-cmd
--zone
=
block
--list-all
防火墙端口映射:本地应用的端口重定向(端口1 > 端口2)从客户机访问
端口1 的请求,自动映射到本机端口2
当有人访问
8888
端口时,映射到本机的
80
端口
firewall-cmd
--zone
=
public
--add-forward
port
=
port
=
8888
:proto
=
tcp
:toport
=
80
命令解释:
--add--forward
添加转发端口
port
=
port
=
5432
指定转发的端口
proto
=
tcp
指定
tcp
协议
toport
=
80
指定目标端口
firewall-cmd
--zone
=
public
--list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services:
ssh
dhcpv6-client http
ports:
protocols:
masquerade: no
forward-ports:
port
=
5432
:proto
=
tcp
:toport
=
80
:toaddr
=