1.firewalld的基本使用
啟動： systemctl start firewalld
查狀態：systemctl status firewalld
停止： systemctl disable firewalld
禁用： systemctl stop firewalld
在開機時啟用一個服務：systemctl enable firewalld.service
在開機時禁用一個服務：systemctl disable firewalld.service
檢視服務是否開機啟動：systemctl is-enabled firewalld.service
檢視已啟動的服務列表：systemctl list-unit-files|grep enabled
檢視啟動失敗的服務列表：systemctl --failed

2.配置firewalld-cmd
檢視版本： firewall-cmd --version
檢視幫助： firewall-cmd --help
顯示狀態： firewall-cmd --state
檢視所有開啟的埠： firewall-cmd --zone=public --list-ports
更新防火牆規則： firewall-cmd --reload
檢視區域資訊: firewall-cmd --get-active-zones
檢視指定介面所屬區域： firewall-cmd --get-zone-of-interface=eth0
拒絕所有包：firewall-cmd --panic-on
取消拒絕狀態： firewall-cmd --panic-off
檢視是否拒絕： firewall-cmd --query-panic

3.那怎麼開啟一個埠呢
新增
firewall-cmd --zone=public(作用域) --add-port=80/tcp(埠和訪問型別) --permanent(永久生效)
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload # 重新載入，更新防火牆規則
firewall-cmd --zone= public --query-port=80/tcp #檢視
firewall-cmd --zone= public --remove-port=80/tcp --permanent # 刪除

firewall-cmd --list-services
firewall-cmd --get-services
firewall-cmd --add-service=<service>
firewall-cmd --delete-service=<service>
在每次修改埠和服務後/etc/firewalld/zones/public.xml檔案就會被修改,所以也可以在檔案中之間修改,然後重新載入
使用命令實際也是在修改檔案，需要重新載入才能生效。

firewall-cmd --zone=public --query-port=80/tcp
firewall-cmd --zone=public --query-port=8080/tcp
firewall-cmd --zone=public --query-port=3306/tcp
firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --zone=public --query-port=3306/tcp
firewall-cmd --zone=public --query-port=8080/tcp
firewall-cmd --reload  # 重新載入後才能生效
firewall-cmd --zone=public --query-port=3306/tcp
firewall-cmd --zone=public --query-port=8080/tcp

4.引數解釋

–add-service #新增的服務

–zone #作用域

–add-port=80/tcp #新增埠，格式為：埠/通訊協議

–permanent #永久生效，沒有此引數重啟後失效

5.詳細使用
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //設定某個ip訪問某個服務
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //刪除配置
firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept' //設定某個ip訪問某個埠
firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept' //刪除配置

firewall-cmd --query-masquerade # 檢查是否允許偽裝IP
firewall-cmd --add-masquerade # 允許防火牆偽裝IP
firewall-cmd --remove-masquerade # 禁止防火牆偽裝IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 將80埠的流量轉發至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 將80埠的流量轉發至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 將80埠的流量轉發至192.168.0.1的8080埠

原文連結：https://blog.csdn.net/s_p_j/article/details/80979450