linux——防火墙常用命令

 

1.查看防火墙的状态

[root@localhost ~]# firewall-cmd --state   查看防火墙的运行状态
not running

[root@localhost ]# systemctl status firewalld.service   查看防火墙服务是否开启,可以把 .service去掉
[root@localhost ]# systemctl status firewall   查看防火墙服务是否开启
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
[root@localhost ]#

2.开启防火墙

 
开启防火墙(重启服务器后又会重新关闭)

[root@localhost ~]# systemctl start firewalld.service

设置防火墙开机自动启动

[root@localhost ~]# systemctl enable firewalld.service   

重启防火墙

[root@localhost ~]# systemctl restart firewalld.service
 

3.查看 firewalld 服务当前所使用的区域 

[root@localhost ~]# firewall-cmd --get-default-zone 
public
[root@localhost ~]#

4.为默认区域开启端口(允许该端口的流量)

 
[root@localhost ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@localhost ~]#
    
命令含义:
–zone #指定区域
–add-port=80/tcp #添加端口,格式为:<端口号/协议>
–permanent #永久生效,没有此参数重启后失效

非永久生效的端口
[root@localhost ~]# firewall-cmd --zone=public --add-port=3002/tcp 
success
重新载入配置,需要执行此命令
[root@localhost ~]# firewall-cmd --reload 

查看开放的端口时,需要区分是否为永久生效
[root@localhost ~]# firewall-cmd --permanent --list-port  加上 -- permanent ,可以列出永久开放的端口
80/tcp 
重新载入配置,需要执行此命令
[root@localhost ~]# firewall-cmd --reload

[root@localhost ~]# firewall-cmd --list-port  未加 --permanent , 列出非永久开放的端口
3002/tcp

[root@localhost ~]# firewall-cmd --permanent --zone=public --list-ports 查看开放端口时,也可以指定区域 --zone
80/tcp 
[root@localhost ~]#

需要注意的是,添加或删除端口后,需要重启防火墙!!!但是每次加完端口后,加入这个下面这个命令,重新载入配置,就不用重启:
[root@localhost ~]# firewall-cmd --reload
 

5.关闭防火墙

[root@localhost ~]# systemctl stop firewalld.service

 

6.其他命令

安装firewalld:yum install firewalld

1、firewalld的基本使用

启动: systemctl start firewalld
查看状态: systemctl status firewalld 
禁用,禁止开机启动: systemctl disable firewalld
停止运行: systemctl stop firewalld
 

 

2.配置firewalld-cmd

查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
更新防火墙规则,重启服务: firewall-cmd --completely-reload
查看已激活的Zone信息:  firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
 

3.信任级别,通过Zone的值指定

drop: 丢弃所有进入的包,而不给出任何响应 
block: 拒绝所有外部发起的连接,允许内部发起的连接 
public: 允许指定的进入连接 
external: 同上,对伪装的进入连接,一般用于路由转发 
dmz: 允许受限制的进入连接 
work: 允许受信任的计算机被限制的进入连接,类似 workgroup 
home: 同上,类似 homegroup 
internal: 同上,范围针对所有互联网用户 
trusted: 信任所有连接

4.firewall开启和关闭端口

以下都是指在public的zone下的操作,不同的Zone只要改变Zone后面的值就可以
添加:
firewall-cmd --zone=public --add-port=80/tcp --permanent    (--permanent永久生效,没有此参数重启后失效)
重新载入:
firewall-cmd --reload
查看:
firewall-cmd --zone=public --query-port=80/tcp
删除:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
 

5.管理服务

以smtp服务为例, 添加到work zone
添加:
firewall-cmd --zone=work --add-service=smtp
查看:
firewall-cmd --zone=work --query-service=smtp
删除:
firewall-cmd --zone=work --remove-service=smtp

 

posted @ 2020-12-03 21:05  1024bits  阅读(1070)  评论(0编辑  收藏  举报