红帽7中firewall常用指令

1.端口管理

(1)列出DMZ区域开放的端口

~]#firewall-cmd --zone=dmz --list-ports

(2)8080端口加入dmz区

~]#firewall-cmd --zone=dmz --add-port=8080/tcp

(3)将UDP端口段加入public区域,并永久生效

~]#firewall-cmd --zone=public --add-port=5060-5070/udp --permanent

2.网卡管理

(1)列出public zone所有网卡

~]#firewall-cmd --zone=public  --list-interfaces

(2)将eno1添加到public区域,并使其永久生效

~]#firewall-cmd --zone=public --permanent --add-interface=eno1

(3)将eno1从public区域删除,并添加到work zone,使其永久生效

~]#firewall-cmd --zone=work --permanent --change-interfaces=eno1
~]#firewall-cmd --zone=public --permanent --remove-interfaces=eno1

3.服务管理

(1)将SMTP服务添加到work zone

~]#firewall-cmd --zone=work --add-service=smtp

(2)移除work zone中的SMTP服务

~]#firewall-cmd --zone=work --permanent --remove-service=smtp

4.配置IP地址伪装

~]#firewall-cmd --zone=external --query-masquerade        #查看地址伪装
~]#firewall-cmd --zone=external --add-masquerade        #开启伪装
~]#firewall-cmd --zone=external --remove-masquerade    #关闭伪装

5.配置public zone端口转发

~]#firewall-cmd --zone=public --add-masquerade        #端口需要先开启IP地址伪装
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toport=3753     #转发TCP 22端口到3753
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toaddr=172.16.12.152       #转发TCP 22端口到另一个IP地址的相同端口上
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toport=2049:toaddr=172.16.12.163     #转发TCP 22端口到另一个IP的2049端口

6.配置public区域的icmp

~]#firewall-cmd --get-icmptypes        #查看所有支持的icmp类型

~]#firewall-cmd --zone=public --list-icmp-blocks        #列出icmp阻塞
~]#firewall-cmd --zone=public --add-icmp-block=echo-request --timeout=seconds        #添加echo-request屏蔽
~]#firewall-cmd --zone=public --remove-icmp-block=echo-reply        #移除echo-reply阻塞

7.封禁IP

~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.100' reject"        #禁止单个IP地址
~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.0/24' reject"        #禁止IP地址段
~]#firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.16.12.200 port port=80 protocol=tcp accept"    #只允许172.16.12.200的80端口的tcp访问

 

posted @ 2018-09-14 21:29  新时代木工  阅读(253)  评论(0编辑  收藏  举报