firewall-cmd --reload 重新加载防火墙
如果想让某条规则立即生效,则不加--permanent参数。
如果想让某条规则重启后生效,则加--permanent参数。
可以执行两个命令,一个不加--permanent参数,一个加--permanent参数。这样会立即生效,重启后也生效。
一、zone
firewall-cmd --get-default-zone 获取默认zone
firewall-cmd --get-active-zones 查看所有网卡所拥有的zone
firewall-cmd --get-zone-of-interface=ens33 查看指定网卡zone
firewall-cmd --zone=public --add-interface=ens34 给指定网卡设置zone
firewall-cmd --zone=dmz --change-interface=ens34 给指定网卡更改zone
firewall-cmd --zone=dmz --remove-interface=ens34 指定网卡删除zone,该网卡会恢复到默认zone
二、service
在/usr/lib/firewalld/services/目录下的配置文件中,保存着服务名与其使用的tcp/udp端口信息。
firewall-cmd --get-service 把所有支持的service列出来。
以下命令均省略了zone,使用默认zone。
firewall-cmd --list-service 把指定zone下的service列出来
firewall-cmd --add-service=ftp 将service添加到指定zone
firewall-cmd --remove-service=ftp 将service从指定zone中删除
三、port
firewall-cmd --list-port 列出所有放行的port
firewall-cmd --add-port=1234/tcp 将指定端口协议放行
firewall-cmd --remove-port=1234/tcp 将指定端口协议删除
四、IP地址伪装
firewall-cmd --query-masquerade 检查是否允许伪装IP
firewall-cmd --add-masquerade 允许伪装IP
firewall-cmd --remove-masquerade 禁止伪装IP
五、端口转发
firewall-cmd-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.1:toport=8080