firewalld防火墙配置

firewalld默认是拒绝所有

区域

打印预定义区域

$ firewall-cmd --get-zones 

打印连接和接口的默认区域

$ firewall-cmd --get-default-zone 

设置默认区域

$ firewall-cmd --set-default-zone=internal

打印当前活动区域

$ firewall-cmd --get-active-zones

接口

列出绑定到区域的接口

$ firewall-cmd --list-interfaces

打印接口绑定的区域名称

$ firewall-cmd --get-zone-of-interface=ens33

更改接口绑定的区域 --> 活动区域改成home

$ firewall-cmd --change-interface=ens33 --zone=home

查询接口是否有绑定到区域

$ firewall-cmd --query-interface=ens33 --zone=home

服务

打印预定义服务

$ firewall-cmd --get-services

打印服务的相关信息

$ firewall-cmd --info-service=ssh

列出资源分区已添加的服务

$ firewall-cmd --list-services

为区域添加服务

$ firewall-cmd --add-service=http

从区域中移除服务

$ firewall-cmd --remove-service=http

端口

列出为区域添加的端口

$ firewall-cmd --list-ports

为区域添加端口

$ firewall-cmd --add-port=12345/tcp

将端口从区域中移除

$ firewall-cmd --remove-port=12345/tcp

IPset

打印预定义的ipset

$ firewall-cmd --get-ipsets

添加一个新的ipset

$ firewall-cmd --new-ipset=whitelist --type hash:net --permanent

打印ipset的文件路径

$ firewall-cmd --path-ipset=whitelist --permanent

向ipset添加一个新条目

$ firewall-cmd --permanent --ipset=whitelist --add-entry=192.168.32.146

列出ipset的表项

$ firewall-cmd --permanent --ipset=whitelist --get-entries

从ipset中删除条目

$ firewall-cmd --permanent --ipset=whitelist --remove-entry=192.168.32.146

富规则

富规则命令的格式或结构如下：

rule [family="rule family"]
    [ source [NOT] [address="address"] [mac="mac-address"] [ipset="ipset"] ]
    [ destination [NOT] address="address" ]
    [ element ]
    [ log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"] ]
    [ audit ]
    [ action ]

为区域添加富语言规则'rule'

$ firewall-cmd --add-rich-rule='rule family="ipv4" source not ipset="whitelist" port port=80 protocol=tcp drop'

从区域中删除富语言规则rule

$ firewall-cmd --remove-rich-rule='rule family="ipv4" source NOT ipset="whitelist" port port="80" protocol="tcp" drop'

官网文档

firewalld官方文档：https://firewalld.org/documentation