https://blog.csdn.net/lockey23/article/details/77389196





查看防火墙服务列表：

文章图片
常用命令解析：

查看firewalld的状态： [root@lockey Desktop]# firewall-cmd --state 查看当前活动的区域，并附带一个目前分配给它们的接口列表： [root@lockey Desktop]# firewall-cmd --get-active-zones 查看默认区域： [root@lockey Desktop]# firewall-cmd --get-default-zone 查看所有可用区域： [root@lockey Desktop]# firewall-cmd --get-zones 列出指定域的所有设置： [root@lockey Desktop]# firewall-cmd --zone=public --list-all 列出所有预设服务： [root@lockey Desktop]# firewall-cmd --get-services （这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意：配置文件是以服务本身命名的service-name. xml） 列出所有区域的设置： [root@lockey Desktop]# firewall-cmd --list-all-zones 设置默认区域： [root@lockey Desktop]# firewall-cmd --set-default-zone=dmz 设置网络地址到指定的区域： [root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-source=172.25.254.0/24 （--permanent参数表示永久生效设置，如果没有指定--zone参数，那么会加入默认区域） 删除指定区域中的网路地址： [root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-source=172.25.254.0/24 添加、改变、删除网络接口： [root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-interface=eth0 [root@lockey Desktop]# firewall-cmd --permanent --zone=internal --change-interface=eth0 [root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-interface=eth0 添加、删除服务： [root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-service=smtp [root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-service=smtp 列出、添加、删除端口： [root@lockey Desktop]# firewall-cmd --zone=public --list-ports [root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-port=8080/tcp [root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-port=8080/tcp 重载防火墙： [root@lockey Desktop]# firewall-cmd --reload (注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37

Direct Rules
通过 firewall-cmd 工具,可以使用 –direct 选项在运行时间里增加或者移除链。
添加规则：

[root@lockey Desktop]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT 删除规则： [root@lockey Desktop]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j ACCEPT 列出规则： [root@lockey Desktop]# firewall-cmd --direct --get-all-rules

• 1
• 2
• 3
• 4
• 5
• 6

Rich Rules

通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。

• 1
• 2

语法结构：

文章图片

source

指定源地址,可以是一个ipv4/ipv6的地址或网段，不支持使用主机名。

• 1
• 2

destination

指定目的地址,用法和source相同。

• 1
• 2

service

服务名称是 firewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:firewall-cmd --get-services

• 1
• 2
• 3
• 4

【03|firewall-cmd】port

端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或udp 。命令为以下形式: port port=number_or_range protocol=protocol

• 1
• 2
• 3

protocol

协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /etc/protocols。 命令为以下形式: protocol value=https://www.it610.com/article/protocol_name_or_ID13 www.westos.org icmp-block 用这个命令阻绝一个或多个ICMP类型。IC MP 类型是 firewalld支持的ICMP类型之一。 要获得被支持的ICMP类型列表,输入以下命令: firewall-cmd --get-icmptypes icmp-block在内部使用 reject 动作，因此不允许指定动作。命令为以下形式: icmp-block name=icmptype_name

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

masquerade

打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许指定动作。

• 1
• 2

forward-port

从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作，命令使用内部动作accept 。命令为以下形式: forward-port port=number_or_range protocol=protocol to-port=number_or_range to-addr=address14 www.westos.org

• 1
• 2
• 3

log

注册含有内核记录的新连接请求到规则中,比如系统记录。你可以定义一个前缀文本， 记录等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的一个。命令形式: log [prefix=prefix text] [level=log level] limit value=https://www.it610.com/article/rate/duration （等级用正的自然数 [1, ..] 表达,持续时间的单位为 s 、 m 、 h 、 d 。 s 表示秒, m 表示分钟, h表示小时, d 表示天。最大限定值是 1/d ,意为每天最多有一条日志进入。）

• 1
• 2
• 3
• 4
• 5

audit

审核为发送到 aud i td 服务的审核记录来注册提供了另一种方法。审核类型可以是ACCEPT、REJECT或DROP中的一种,但不能在 audit命令后指定,因为审核类型将会从规则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选择的。选择 accept 所有新的连接请求都会被允许。选择 reject ,连接将被拒绝,连接来源将接到一个拒绝信息。拒绝的类型可以被设定为使用另一种值。选择 drop , 所有数据包会被丢弃,并且不会向来源地发送任何信息。

• 1
• 2

多语言命令的格式：

在这个部分,所有命令都必须以 root 用户身份运行。增加一项规则的命令格式如下: firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds] 这样将为 zone 分区增加一项多语言规则 rule 。这个选项可以多次指定。如果分区被省 略,将使用默认分区。如果出现超时,规则将在指定的秒数内被激活,并在之后被自动移除 移除一项规则: firewall-cmd [--zone=zone] --remove-rich-rule='rule' 检查一项规则是否存在: firewall-cmd [--zone=zone] --query-rich-rule='rule' 这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0 ; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。 列出所有多语言规则： firewall-cmd --list-rich-rules 添加规则： # firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept' 允许172.25.0.10主机所有连接。 # firewall-cmd --add-rich-rule='rule service name=ftp limit value=https://www.it610.com/article/2/m accept' 每分钟允许2个新连接访问ftp服务。 # firewall-cmd --add-rich-rule='rule service name=ftp log limit value="https://www.it610.com/article/1/m" audit accept' 同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。 # firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24" service name=ssh log prefix="ssh" level="notice" limit value="https://www.it610.com/article/3/m" accept' 允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。 # firewall-cmd --permanent --add-rich-rule='rule protocol value=https://www.it610.com/article/icmp drop' 丢弃所有icmp包 # firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' -- timeout=10 当使用source和destination指定地址时，必须有family参数指定ipv4或ipv6。如果指定超时, 规则将在指定的秒数内被激活,并在之后被自动移除。 # firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="https://www.it610.com/article/1/h" reject' --timeout=300 拒绝所有来自2001:db8::/64子网的主机访问dns服务，并且每小时只审核记录1次日志。 # firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 service name=ftp accept' 允许172.25.0.0/24网段中的主机访问ftp服务 # firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"' 转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37
• 38

伪装：

[root@lockey Desktop]# firewall-cmd --permanent --zone= --add-masquerade [root@lockey Desktop]# firewall-cmd --permanent --zone= --add-rich-rule='rule family=ipv4 source addres=172.25.0.0/24 masquerade'

• 1
• 2
• 3

端口转发：

[root@lockey Desktop]# firewall-cmd --permanent --zone= --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=172.25.0.10 [root@lockey Desktop]# firewall-cmd --permanent --zone= --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

• 1
• 2
• 3

管理SELinux端口标签

列出端口标签： # semanage port -l 添加端口标签： # semanage port -a -t http_port_t -p tcp 82 删除端口标签： # semanage port -d -t http_port_t -p tcp 82

推荐阅读

• 

  色母片是什么
• 

  mysql怎么查找递归 sql实现mysql递归查询
• 

  java数组基础详解
• 

  宝宝|婴幼儿意外伤害第一时间如何正确处置？
• 

  mysql服务层中解析器包含哪些功能 mysql解析器是什么
• 

  别出心裁的“烧南北”
• 

  真机|小米又站起来了！MIX 4真机屏幕曝光：这效果太好
• 

  水果拼盘常用水果 三种水果拼盘图片
• 

  品质分析方法,统计学分析方法有哪些
• 

  2023年北京郁金香文化节有几个展区参加 2023年北京郁金香文化节有几个展区
• 

  拍摄延时摄影用什么格式，延时摄影的图片格式
• 

  htcG13手机应该下个什么文件阅读器或者浏览器？一打开爱奇艺就自动把视频 图片查看器 音乐播放器全改成了爱奇艺万能播放器，
• 

  轻轨是地铁吗
• 

  mysql解压tar
• 

  百度导航下载导航，百度地图导航下载
• 

  go语言控制台输出 go语言控制台输入
• 

  预算在1500,如何配置一台玩DNF的电脑？
• 

  破晓色是什么颜色？
• 

  工程竣工验收需要哪些资料？ 工程竣工验收需要哪些资料
• 

  比亚迪s7报价多少 比亚迪s7报价多少?

• Linux|109 个实用 shell 脚本
• linux笔记|linux 常用命令汇总（面向面试）
• Linux|Linux--网络基础
• linux|apt update和apt upgrade命令 - 有什么区别（）
• linux|2022年云原生趋势
• Go|Docker后端部署详解（Go+Nginx）
• 开源生态|GPL、MIT、Apache...开发者如何选择开源协议（一文讲清根本区别）
• GitHub|7 款可替代 top 命令的工具