Centos 7防火牆Firewall
阿新 • • 發佈:2018-11-04
安裝Firewall命令
yum install firewalld firewalld-config
開啟防火牆命令
systemctl start firewalld.service
重啟防火牆命令
firewall-cmd --reload 或者 service firewalld restart
禁用防火牆
systemctl stop firewalld
設定開機啟動
systemctl enable firewalld
停止並禁用開機啟動
sytemctl disable firewalld
檢視狀態
systemctl status firewalld或者 firewall-cmd --state
檢視埠列表
firewall-cmd --permanent --list-port
Firewall開啟常見埠命令
firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=443/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=21/tcp --permanent firewall-cmd --zone=public --add-port=53/udp --permanent
1、–zone=public:指定的zone為public;
2、–permanent:表示設定為持久;
3、–add-port:標識新增的埠;
Firewall關閉常見埠命令
firewall-cmd --zone=public --remove-port=80/tcp --permanent firewall-cmd --zone=public --remove-port=443/tcp --permanent firewall-cmd --zone=public --remove-port=22/tcp --permanent firewall-cmd --zone=public --remove-port=21/tcp --permanent firewall-cmd --zone=public --remove-port=53/udp --permanent
批量新增區間埠
firewall-cmd --zone=public --add-port=4400-4600/udp --permanent
firewall-cmd --zone=public --add-port=4400-4600/tcp --permanent
firewalld中常用的區域名稱及策略規則
區域 | 預設規則策略 |
---|---|
trusted | 允許所有的資料包 |
home | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、mdns、ipp-client、amba-client與dhcpv6-client服務相關,則允許流量 |
internal | 等同於home區域 |
work | 拒絕流入的流量,除非與流出的流量數相關;而如果流量與ssh、ipp-client與dhcpv6-client服務相關,則允許流量 |
public | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、dhcpv6-client服務相關,則允許流量 |
external | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 |
dmz | 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 |
block | 拒絕流入的流量,除非與流出的流量相關 |
drop | 拒絕流入的流量,除非與流出的流量相關 |
firewall-cmd命令中使用的引數以及作用
引數 | 作用 |
---|---|
–get-default-zone | 查詢預設的區域名稱 |
–set-default-zone=<區域名稱> | 設定預設的區域,使其永久生效 |
–get-zones | 顯示可用的區域 |
–get-services | 顯示預先定義的服務 |
–get-active-zones | 顯示當前正在使用的區域與網絡卡名稱 |
–add-source= | 將源自此IP或子網的流量導向指定的區域 |
–remove-source= | 不再將源自此IP或子網的流量導向某個指定區域 |
–add-interface=<網絡卡名稱> | 將源自該網絡卡的所有流量都導向某個指定區域 |
–change-interface=<網絡卡名稱> | 將某個網絡卡與區域進行關聯 |
–list-all | 顯示當前區域的網絡卡配置引數、資源、埠以及服務等資訊 |
–list-all-zones | 顯示所有區域的網絡卡配置引數、資源、埠以及服務等資訊 |
–add-service=<服務名> | 設定預設區域允許該服務的流量 |
–add-port=<埠號/協議> | 設定預設區域允許該埠的流量 |
–remove-service=<服務名> | 設定預設區域不再允許該服務的流量 |
–remove-port=<埠號/協議> | 設定預設區域不再允許該埠的流量 |
–reload | 讓“永久生效”的配置規則立即生效,並覆蓋當前的配置規則 |
–panic-on | 開啟應急狀況模式 |
–panic-off | 關閉應急狀況模式 |