firewall-cmd命令詳解

# 安裝firewalld

yum install firewalld firewall-config

systemctl start? firewalld # 啟動

systemctl status firewalld # 或者 firewall-cmd --state 查看狀態(tài)

systemctl disable firewalld # 停止

systemctl stop firewalld? # 禁用

# 你也可以關(guān)閉目前還不熟悉的FirewallD防火墻,而使用iptables榔幸,命令如下:

yum install iptables-services

systemctl start iptables

systemctl enable iptables

配置

```

firewall-cmd --version? # 查看版本

firewall-cmd --help? ? # 查看幫助

# 查看設(shè)置:

firewall-cmd --state? # 顯示狀態(tài)

firewall-cmd --get-active-zones? # 查看區(qū)域信息

firewall-cmd --get-zone-of-interface=eth0? # 查看指定接口所屬區(qū)域

firewall-cmd --panic-on? # 拒絕所有包

firewall-cmd --panic-off? # 取消拒絕狀態(tài)

firewall-cmd --query-panic? # 查看是否拒絕

firewall-cmd --reload # 更新防火墻規(guī)則

firewall-cmd --complete-reload

# 兩者的區(qū)別就是第一個無需斷開連接垮媒,就是firewalld特性之一動態(tài)添加規(guī)則敦迄,第二個需要斷開連接,類似重啟服務(wù)

# 將接口添加到區(qū)域稽物,默認(rèn)接口都在public

firewall-cmd --zone=public --add-interface=eth0

# 永久生效再加上 --permanent 然后reload防火墻

# 設(shè)置默認(rèn)接口區(qū)域捉偏,立即生效無需重啟

firewall-cmd --set-default-zone=public

# 查看所有打開的端口:

firewall-cmd --zone=dmz --list-ports

# 加入一個端口到區(qū)域:

firewall-cmd --zone=dmz --add-port=8080/tcp

# 打開一個服務(wù),類似于將端口可視化立叛,服務(wù)需要在配置文件中添加,/etc/firewalld 目錄下有services文件夾贡茅,這個不詳細說了秘蛇,詳情參考文檔

firewall-cmd --zone=work --add-service=smtp

# 移除服務(wù)

firewall-cmd --zone=work --remove-service=smtp

# 顯示支持的區(qū)域列表

firewall-cmd --get-zones

# 設(shè)置為家庭區(qū)域

firewall-cmd --set-default-zone=home

# 查看當(dāng)前區(qū)域

firewall-cmd --get-active-zones

# 設(shè)置當(dāng)前區(qū)域的接口

firewall-cmd --get-zone-of-interface=enp03s

# 顯示所有公共區(qū)域(public)

firewall-cmd --zone=public --list-all

# 臨時修改網(wǎng)絡(luò)接口(enp0s3)為內(nèi)部區(qū)域(internal)

firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改網(wǎng)絡(luò)接口enp03s為內(nèi)部區(qū)域(internal)

firewall-cmd --permanent --zone=internal --change-interface=enp03s

服務(wù)管理

# 顯示服務(wù)列表

Amanda, FTP, Samba和TFTP等最重要的服務(wù)已經(jīng)被FirewallD提供相應(yīng)的服務(wù),可以使用如下命令查看:

firewall-cmd --get-services

# 允許SSH服務(wù)通過

firewall-cmd --enable service=ssh

# 禁止SSH服務(wù)通過

firewall-cmd --disable service=ssh

# 打開TCP的8080端口

firewall-cmd --enable ports=8080/tcp

# 臨時允許Samba服務(wù)通過600秒

firewall-cmd --enable service=samba --timeout=600

# 顯示當(dāng)前服務(wù)

firewall-cmd --list-services

# 添加HTTP服務(wù)到內(nèi)部區(qū)域(internal)

firewall-cmd --permanent --zone=internal --add-service=http

firewall-cmd --reload? ? # 在不改變狀態(tài)的條件下重新加載防火墻

端口管理

# 打開443/TCP端口

firewall-cmd --add-port=443/tcp

# 永久打開3690/TCP端口

firewall-cmd --permanent --add-port=3690/tcp

# 永久打開端口好像需要reload一下顶考,臨時打開好像不用赁还,如果用了reload臨時打開的端口就失效了

firewall-cmd --reload

# 查看防火墻,添加的端口也可以看到

firewall-cmd --list-all

控制端口/服務(wù)

可以通過兩種方式控制端口的開放驹沿,一種是指定端口號另一種是指定服務(wù)名艘策。雖然開放 http 服務(wù)就是開放了 80 端口,但是還是不能通過端口號來關(guān)閉渊季,也就是說通過指定服務(wù)名開放的就要通過指定服務(wù)名關(guān)閉朋蔫;通過指定端口號開放的就要通過指定端口號關(guān)閉。還有一個要注意的就是指定端口的時候一定要指定是什么協(xié)議却汉,tcp 還是 udp驯妄。知道這個之后以后就不用每次先關(guān)防火墻了,可以讓防火墻真正的生效合砂。

firewall-cmd --add-service=mysql # 開放mysql端口

firewall-cmd --remove-service=http? ? ? # 阻止http端口

firewall-cmd --list-services? ? ? ? ? ? # 查看開放的服務(wù)

firewall-cmd --add-port=3306/tcp? ? ? ? # 開放通過tcp訪問3306

firewall-cmd --remove-port=80tcp? ? ? ? # 阻止通過tcp訪問3306

firewall-cmd --add-port=233/udp? ? ? ? # 開放通過udp訪問233

firewall-cmd --list-ports? ? ? ? ? ? ? # 查看開放的端口

偽裝IP

firewall-cmd --query-masquerade# 檢查是否允許偽裝IP

firewall-cmd --add-masquerade# 允許防火墻偽裝IP

firewall-cmd --remove-masquerade# 禁止防火墻偽裝IP

端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)可以將指定地址訪問指定的端口時青扔,將流量轉(zhuǎn)發(fā)至指定地址的指定端口。轉(zhuǎn)發(fā)的目的如果不指定 ip 的話就默認(rèn)為本機,如果指定了 ip 卻沒指定端口微猖,則默認(rèn)使用來源端口谈息。 如果配置好端口轉(zhuǎn)發(fā)之后不能用,可以檢查下面兩個問題:

比如我將 80 端口轉(zhuǎn)發(fā)至 8080 端口励两,首先檢查本地的 80 端口和目標(biāo)的 8080 端口是否開放監(jiān)聽了

其次檢查是否允許偽裝 IP黎茎,沒允許的話要開啟偽裝 IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080# 將80端口的流量轉(zhuǎn)發(fā)至8080

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1# 將80端口的流量轉(zhuǎn)發(fā)至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080# 將80端口的流量轉(zhuǎn)發(fā)至192.168.0.1的8080端口

當(dāng)我們想把某個端口隱藏起來的時候,就可以在防火墻上阻止那個端口訪問当悔,然后再開一個不規(guī)則的端口,之后配置防火墻的端口轉(zhuǎn)發(fā)踢代,將流量轉(zhuǎn)發(fā)過去盲憎。

端口轉(zhuǎn)發(fā)還可以做流量分發(fā),一個防火墻拖著好多臺運行著不同服務(wù)的機器胳挎,然后用防火墻將不同端口的流量轉(zhuǎn)發(fā)至不同機器饼疙。

轉(zhuǎn)自:

https://www.cnblogs.com/tkzc2013/p/11319625.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市慕爬,隨后出現(xiàn)的幾起案子窑眯,更是在濱河造成了極大的恐慌,老刑警劉巖医窿,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件磅甩,死亡現(xiàn)場離奇詭異,居然都是意外死亡姥卢,警方通過查閱死者的電腦和手機卷要,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來独榴,“玉大人僧叉,你說我怎么就攤上這事」桌疲” “怎么了瓶堕?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長症歇。 經(jīng)常有香客問我郎笆,道長,這世上最難降的妖魔是什么当船? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任题画,我火速辦了婚禮,結(jié)果婚禮上德频,老公的妹妹穿的比我還像新娘苍息。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布竞思。 她就那樣靜靜地躺著表谊,像睡著了一般。 火紅的嫁衣襯著肌膚如雪盖喷。 梳的紋絲不亂的頭發(fā)上爆办,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機與錄音课梳,去河邊找鬼距辆。 笑死,一個胖子當(dāng)著我的面吹牛暮刃,可吹牛的內(nèi)容都是我干的跨算。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼椭懊,長吁一口氣:“原來是場噩夢啊……” “哼诸蚕!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起氧猬,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤背犯,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后盅抚,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體漠魏,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年泉哈,在試婚紗的時候發(fā)現(xiàn)自己被綠了蛉幸。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡丛晦,死狀恐怖奕纫,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情烫沙,我是刑警寧澤匹层,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站锌蓄,受9級特大地震影響升筏,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜瘸爽,卻給世界環(huán)境...
    茶點故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一您访、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧剪决,春花似錦灵汪、人聲如沸檀训。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽峻凫。三九已至,卻和暖如春览露,著一層夾襖步出監(jiān)牢的瞬間荧琼,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工差牛, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留命锄,地道東北人。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓多糠,卻偏偏與公主長得像累舷,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子夹孔,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,527評論 2 349