1.使用firewalld配置的防火墻策略默認(rèn)為運(yùn)行時(Runtime)模式,又稱為當(dāng)前生效模式朋凉,而且隨著系統(tǒng)的重啟會失效萧芙。
2.想讓配置策略一直存在,就需要使用永久(Permanent)模式了寓搬,方法就是在用firewall-cmd命令正常設(shè)置防火墻策略時添加--permanent參數(shù)珍昨,永久生效模式設(shè)置的策略只有在系統(tǒng)重啟之后才能自動生效。
3.如果想讓配置的策略立即生效句喷,需要手動執(zhí)行firewall-cmd --reload命令镣典。
4.啟動/關(guān)閉firewalld防火墻服務(wù)的應(yīng)急狀況模式,阻斷一切網(wǎng)絡(luò)連接(當(dāng)遠(yuǎn)程控制服務(wù)器時請慎用):
[root@localhost ~]# firewall-cmd --panic-on
success
[root@localhost ~]# firewall-cmd --panic-off
success
5.流量轉(zhuǎn)發(fā)
命令格式為firewall-cmd --permanent --zone=<區(qū)域> --add-forward-port=port=<源端口號>:proto=<協(xié)議>:toport=<目標(biāo)端口號>:toaddr=<目標(biāo)IP地址>
eg:把原本訪問本機(jī)888端口的流量轉(zhuǎn)發(fā)到22端口唾琼,要且求當(dāng)前和長期均有效
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@localhost ~]# firewall-cmd --reload
success
6.拒絕訪問(富規(guī)則)
firewalld可以針對系統(tǒng)服務(wù)兄春、端口號、源地址和目標(biāo)地址等諸多信息進(jìn)行更有針對性的策略配置锡溯。它的優(yōu)先級在所有的防火墻策略中也是最高的赶舆。
eg:
firewalld服務(wù)中配置一條富規(guī)則,使其拒絕192.168.10.0/24網(wǎng)段的所有用戶訪問本機(jī)的ssh服務(wù)(22端口):
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@localhost ~]# firewall-cmd --reload
success
