CentOS 7 Firewalld 常用操作
1、简介
Zone 级别
drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接
过滤规则
source: 根据源地址过滤
interface: 根据网卡过滤
service: 根据服务名过滤
port: 根据端口过滤
icmp-block: icmp 报文过滤,按照 icmp 类型配置
masquerade: ip 地址伪装
forward-port: 端口转发
rule: 自定义规则
优先级
source
interface
firewalld.conf
2、基本命令
1 2 3 4 5 6 7 8 9 10 11 12 13 | //启动systemctl start firewalld//停止systemctl stop firewalld//重启systemctl restart firewalld//禁用systemctl disable firewalld//开机启动systemctl enable firewalld//状态systemctl status firewalldfirewall-cmd --state |
3、查看规则
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | //查看所有信息firewall-cmd --list-all//查看指定级别的所有信息firewall-cmd --zone=public --list-all//查看指定级别的端口firewall-cmd --zone=public --list-ports//注意//以上的级别和过滤规则可按需进行修改//查看所有级别被允许的信息firewall-cmd --get-service//查看所有级别被永久放行的服务firewall-cmd --get-service --permanent//重新加载配置firewall-cmd --reload |
4、配置管理
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | //firewall命令firewall-cmd//指定 zone--zone=NAME//永久修改--permanent//添加端口 --add-port//添加接口--add-interface//添加服务--add-service//移出相应过滤--remove-过滤 |
例如:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | //添加端口到public区域 --permanent表示永久生效firewall-cmd --zone=public --add-port=80/tcp --permanentfirewall-cmd --zone=public --add-port=400/udp --permanent //从public区域移出端口 --permanent表示永久生效firewall-cmd --zone=public --remove-port=80/tcp --permanentfirewall-cmd --zone=public --add-service=http --permanent firewall-cmd --zone=public --add-service=https --permanent firewall-cmd --zone=public --add-service=ftp --permanentfirewall-cmd --zone=public --remove-service=ftp --permanentfirewall-cmd --zone=work --add-service=smtp --permanentfirewall-cmd --zone=work --remove-service=smtp --permanent |
5、IP 封禁
封ip
1 2 | firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ipfirewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=168.0.0.1 |
封ip段
1 2 | firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:netfirewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=168.0.0.1/10 |
自定义
1 2 | firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklist.xmlfirewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop' |
参考文献:https://havee.me/linux/2015-01/using-firewalls-on-centos-7.html
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 25岁的心里话
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器