常用命令

開(kāi)啟端口命令

firewall-cmd --zone=public --add-port=443/tcp --permanent

–zone #作用域

–add-port=80/tcp #添加端口，格式為：端口 / 通訊協(xié)議

–permanent #永久生效，沒(méi)有此參數(shù)重啟后失效

關(guān)閉端口命令

firewall-cmd --zone=public--remove-port=80/tcp --permanent

重啟防火墻命令

使更改立即生效

firewall-cmd --reload或者 service firewalld restart

systemctl防火墻命令

啟動(dòng)一個(gè)服務(wù)：systemctl start firewalld.service
關(guān)閉一個(gè)服務(wù)：systemctl stop firewalld.service
重啟一個(gè)服務(wù)：systemctl restart firewalld.service
顯示一個(gè)服務(wù)的狀態(tài)：systemctl status firewalld.service
在開(kāi)機(jī)時(shí)啟用一個(gè)服務(wù)：systemctl enable firewalld.service
在開(kāi)機(jī)時(shí)禁用一個(gè)服務(wù)：systemctl disable firewalld.service
查看服務(wù)是否開(kāi)機(jī)啟動(dòng)：systemctl is-enabled firewalld.service
查看已啟動(dòng)的服務(wù)列表：systemctl list-unit-files|grep enabled
查看啟動(dòng)失敗的服務(wù)列表：systemctl --failed

查看端口列表

firewall-cmd --permanent --list-port

檢查 rirewall 防火墻端口是否開(kāi)放

firewall-cmd --query-port=80/tcp

firewalld、firewalld-cmd、systemctl、iptables 區(qū)別

• CentOS7 采用新的 firewalld，CentOS6 及以前版本采用 iptables，不過(guò) firewalld 底層仍然調(diào)用的是 iptables
• systemctl 是 CentOS7 的服務(wù)管理工具中主要的工具
• firewalld-cmd 是 firewalld 的命令行工具

zone 區(qū)域

firewalld 防火墻為了簡(jiǎn)化管理，將所有網(wǎng)絡(luò)流量分為多個(gè)區(qū)域（zone）。然后根據(jù)數(shù)據(jù)包的源 IP 地址或傳入的網(wǎng)絡(luò)接口等條件將流量傳入相應(yīng)區(qū)域，每個(gè)區(qū)域都定義了自己打開(kāi)或者關(guān)閉的端口和服務(wù)列表。

區(qū)域（zone）是針對(duì)特定位置或場(chǎng)景（例如家庭、公共、受信任等）可能具有的各種信任級(jí)別的規(guī)則集。不同的區(qū)域（zone）可允許不同的網(wǎng)絡(luò)服務(wù)和入站流量的類(lèi)型，而拒絕其他任何流量。

• 區(qū)域（zone）是針對(duì)特定位置或場(chǎng)景（例如家庭、公共、受信任等）可能具有的各種信任級(jí)別的規(guī)則集。
• 不同的區(qū)域（zone）可允許不同的網(wǎng)絡(luò)服務(wù)和入站流量的類(lèi)型，而拒絕其他任何流量。

firewalld 的 9 個(gè)區(qū)域

• public(公共) —— [默認(rèn)] 公網(wǎng)訪問(wèn)，不受任何限制。
• work(工作) —— 用于工作區(qū)?；拘湃蔚木W(wǎng)絡(luò)，僅僅接收經(jīng)過(guò)選擇的連接。
• home(家庭) —— 用于家庭網(wǎng)絡(luò)。基本信任的網(wǎng)絡(luò)，僅僅接收經(jīng)過(guò)選擇的連接。
• trusted(信任) —— 接收的外部網(wǎng)絡(luò)連接是可信任、可接受的。
• block(限制) —— 任何接收的網(wǎng)絡(luò)連接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕。
• dmz(隔離區(qū)) —— 英文 “demilitarized zone” 的縮寫(xiě)，此區(qū)域內(nèi)可公開(kāi)訪問(wèn)，它是非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。
• drop(丟棄) —— 任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒(méi)有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。
• external(外部) —— 允許指定的外部網(wǎng)絡(luò)進(jìn)入連接，特別是為路由器啟用了偽裝功能的外部網(wǎng)。
• internal(內(nèi)部) —— 內(nèi)部訪問(wèn)。只限于本地訪問(wèn)，其他不能訪問(wèn)。

區(qū)域管理命令

firewall-cmd --get-default-zone // 顯示當(dāng)前系統(tǒng)中的默認(rèn)區(qū)域

firewall-cmd --list-all // 顯示默認(rèn)區(qū)域的所有規(guī)則

firewall-cmd --list-all-zones // 查看所有區(qū)域的所有規(guī)則

firewall-cmd --get-active-zones // 顯示當(dāng)前正在使用的區(qū)域及其對(duì)應(yīng)的網(wǎng)卡接口

firewall-cmd --set-default-zone=home // 設(shè)置默認(rèn)區(qū)域

到此這篇關(guān)于LINUX 防火墻 firewalld-cmd命令的文章就介紹到這了,更多相關(guān)linux 防火墻內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論