firewalld的基础操作命令【转】

阅读目录

• 防火墙服务操作：
• 常用命令（加--permanent参数才会写入配置文件以永久生效）：
• 应急模式管理（加--permanent参数才会写入配置文件以永久生效）：
• 服务添加示例（加--permanent参数才会写入配置文件以永久生效）：
• 端口添加示例（加--permanent参数才会写入配置文件以永久生效）：
• 协议添加示例（加--permanent参数才会写入配置文件以永久生效）：
• 端口流量转发示例（加--permanent参数才会写入配置文件以永久生效）：
• 富规则临时添加示例（加--permanent参数才会写入配置文件以永久生效）：

回到顶部

防火墙服务操作：

启动防火墙# systemctl start firewalld
关闭防火墙# systemctl stop firewalld
重启防火墙# systemctl restart firewalld
查看防火墙状态# systemctl status firewalld
设置防火墙开机启动# systemctl enable firewalld
关闭防火墙开机启动# systemctl disable firewalld

 

回到顶部

常用命令（加--permanent参数才会写入配置文件以永久生效）：

重新加载防火墙配置# firewall-cmd --reload 规则更改后必须重新加载生效
查看防火墙运行状态# firewall-cmd --state 等于#systemctl status firewalld
查看所有区域配置#firewall-cmd --list-all-zones
查看防火墙默认区域配置# firewall-cmd --list-all
查看防火墙默认区域名#firewall-cmd --get-default-zone
设置防火强默认区域#firewall-cmd --set-default-zone=public
把网卡分配给区域#firewall-cmd --zone=public --add-interface=ens32
查看指定网卡所在区域#firewall-cmd --get-zone-of-interface=ens32
更改网卡所属区域#firewall-cmd --zone=public --change-interface=ens32

 

 

回到顶部

应急模式管理（加--permanent参数才会写入配置文件以永久生效）：

拒绝所有流量# firewall-cmd --panic-on
取消应急模式# firewall-cmd --panic-off（但需要重启firewalld后才可以远程ssh）
查看是否为应急模式# firewall-cmd --query-panic

 

 

回到顶部

服务添加示例（加--permanent参数才会写入配置文件以永久生效）：

添加服务#firewall-cmd --add-service=Telnet
移除服务#firewall-cmd --remove-service=Telnet
查看开启的服务# firewall-cmd --list-services

 

 

回到顶部

端口添加示例（加--permanent参数才会写入配置文件以永久生效）：

添加端口和协议# firewall-cmd --add-port=3306/tcp
删除端口和协议# firewall-cmd --remove-port=3306/tcp
查看开启的端口# firewall-cmd --list-ports

 

 

回到顶部

协议添加示例（加--permanent参数才会写入配置文件以永久生效）：

添加协议# firewall-cmd --add-protocol=icmp
取消协议# firewall-cmd --remove-protocol=icmp
查看添加的协议# firewall-cmd --list-protocols

 

 

回到顶部

端口流量转发示例（加--permanent参数才会写入配置文件以永久生效）：

将原本访问本机888端口的流量转发到本机22端口：
firewall-cmd --zone=drop --add-forward-port=port=888:proto=tcp:toport=22

将原本访问本机888端口的流量转发到ip为192.168.2.208的主机的22端口（需要开启masquerade）：
firewall-cmd --zone=drop --add-masquerade
firewall-cmd --zone=drop --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.2.208
测试端口转发功能是否生效：在客户端尝试访问192.168.2.210主机的888端口，连上去后发现实际连接的是192.168.2.208主机，测试OK。

 

 

回到顶部

富规则临时添加示例（加--permanent参数才会写入配置文件以永久生效）：

允许192.168.2.208主机的所有流量：
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.208" accept"

允许192.168.2.208主机的icmp协议，即允许192.168.2.208主机ping：
firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" protocol value="icmp" accept"

取消允许192.168.2.208主机的所有流量
firewall-cmd --zone=drop --remove-rich-rule="rule family="ipv4" source address="192.168.2.208" accept"

允许192.168.2.208主机访问ssh服务
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="ssh" accept"

禁止192.168.2.208访问https服务，并返回错误信息：
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="https" reject"
注：如果是drop的话是直接丢弃，会返回timeout（连接超时）

允许192.168.2.0/24网段的主机访问22端口：
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" accept"

允许192.168.2.1地址的主机访问22端口：
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.1" port protocol="tcp" port="22" accept"

允许任意地址的主机访问5601端口：
firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" port protocol="tcp" port="5601" accept"

每分钟允许2个新连接访问ftp服务：
firewall-cmd --add-rich-rule="rule service name=ftp limit value=2/m accept"

允许新的ipv4和ipv6连接ftp，并使用日志和审核，每分钟允许访问一次：
firewall-cmd --add-rich-rule="rule service name=ftp log limit value="1/m" audit accept"

拒绝来自192.168.2.0/24网段的连接，10秒后自动取消：
firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 reject" --timeout=10

允许ipv6地址为2001:db8::/64子网的主机访问dns服务，并且每小时审核一次，300秒后自动取消：
firewall-cmd --add-rich-rule="rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject" --timeout=300

将来自192.168.2.0/24网段访问本机80端口的流量转发到本机的22端口：
firewall-cmd --zone=drop --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port port=80 protocol=tcp to-port=22"

将来自192.168.2.0/24网段访问本地80端口的流量转发到192.168.2.208主机的22端口：
firewall-cmd --zone=drop --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port port=80 protocol=tcp to-port=22 to-addr=192.168.2.208"

 

 

防火墙脚本示例：

#!/bin/bash
systemctl stop firewalld
\cp -p /usr/lib/firewalld/zones/drop.xml /etc/firewalld/zones/

systemctl start firewalld
firewall-cmd --set-default-zone=drop
firewall-cmd --permanent --zone=drop --change-interface=ens32
firewall-cmd --permanent --zone=drop --add-service=https
firewall-cmd --permanent --zone=drop --add-protocol=icmp
firewall-cmd --permanent --zone=drop --add-masquerade
firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.208" port protocol="tcp" port="5210" accept"
firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.206" port protocol="tcp" port="5210" accept"
firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="116.226.230.115" port protocol="tcp" port="8023" accept"
firewall-cmd --reload

 

附加：

rich rules----富规则，即更细致、更详细的防火墙规则策略，它的优先级在所有的防火墙策略中也是最高的，这个要注意。
以上端口、服务、协议、端口流量转发配置都是临时添加，重启就丢失；建议在/etc/firewalld/zones/配置文件里配置规则，以永久生效。

转自
版权声明：本文为CSDN博主「闵安」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_51697917/article/details/121186515