firewalld模块用于在防火墙中添加或删除服务和端口
firewalld模块常用参数
• state:必须参数,指定防火墙策略状态,enable表示策略生效,disable表示策略禁用,present表示新建策略,absent表示删除策略
• service:向防火墙添加/删除的服务名称,该服务必须在firewall-cmd --get-services可以查询到
• port:要从防火墙添加或删除端口或端口范围,必须以端口/协议,端口范围/协议的形式书写
• permanent:保存策略,在下次启动时自动加载
• immediate:配置永久策略后立即生效
• interface:添加/删除 出入防火墙的接口
• offline:脱机状态运行防火墙
• zone:添加/删除防火墙区域,有如下区域可供配置
○ drop: 丢弃所有进入的包,而不给出任何响应
○ block: 拒绝所有外部发起的连接,允许内部发起的连接
○ public: 允许指定的进入连接
○ external: 同上,对伪装的进入连接,一般用于路由转发
○ dmz: 允许受限制的进入连接
○ work: 允许受信任的计算机被限制的进入连接,类似 workgroup
○ home: 同上,类似 homegroup
○ internal: 同上,范围针对所有互联网用户
○ trusted: 信任所有连接
• source:指定从防火墙添加/删除的网段
• timeout:非永久性规则的生效时间
firewalld模块示例
1、放行httpd服务,立即生效,重启后依然生效
- name: http
firewalld:
service: http
state: enabled
permanent: yes
immediate: yes2、放行82端口,立即生效,重启后依然生效
- name: http-82
firewalld:
port: 82/tcp
state: enabled
permanent: yes
immediate: yes参考:ansible-doc firewalld