CentOS7默认防火墙 firewalld简单使用
特点
- firewalld对比 iptables优点是支持动态更新, 每次更改规则可以不重启服务
- 加入了
zone
(域)的概念 - 与 iptables相同之处是都是使用 Linux内核上的 netfilter来实现防火墙的
安装
- yum install firewalld
启动
- systemctl start firewalld 或 systemctl start firewalld.service
关闭
- systemctl stop firewalld 或 systemctl stop firewalld.service
重启
- systemctl restart firewalld 或 systemctl restart firewalld.service
查看状态
- systemctl status firewalld 或 systemctl status firewalld.service
开机启用
- systemctl enable firewalld 或 systemctl enable firewalld.service
开机禁用
- systemctl disable firewalld 或 systemctl disable firewalld.service
firewall-cmd命令
常用参数 | 说明 |
---|---|
--help |
查看帮助 |
--state |
查看状态 |
--reload |
不中断服务的重新加载 |
--complete-reload |
中断服务的重新加载 |
--runtime-to-permanent |
将当前防火墙的规则永久保存 |
--get-zones |
查看所有的域 block dmz drop external home internal public trusted work |
--zone |
--zone=<zone> 指定域 |
--get-active-zones |
查看当前活动域 |
--get-default-zone |
查看默认域 |
--set-default-zone |
设置默认域 |
--list-ports |
查看所有打开的端口 |
--add-port |
--add-port=<portid>[-<portid>]/<protocol> 指定要打开的端口和协议 |
--remove-port |
--remove-port=<portid>[-<portid>]/<protocol> 删除已打开的端口和协议 |
--query-port |
--query-port=<portid>[-<portid>]/<protocol> 查看指定的端口和协议是否存在 |
--list-all |
查看 --zone 域的相关信息 |
--permanent |
永久保存, 无此参数重启后失效 |
--direct |
直接模式, 可以使用iptables, ip6tables中的规则进行配置 |
--get-all-rules |
查看一配置的所有规则 |
实例
查看指定 public域的所有打开的端口
- firewall-cmd --zone=public --list-ports
打开[协议 tcp的80端口]同时永久保存
- firewall-cmd --zone=public --add-port=80/tcp --permanent
删除配置中的[协议 tcp的80端口]同时永久保存
- firewall-cmd --zone=public --remove-port=80/tcp --permanent
查看通过直接模式配置的所有规则
- firewall-cmd --direct --get-all-rules
拒绝所有 IP访问22端口
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -j REJECT
指定允许的 IP:192.168.2.25访问 端口:22
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.25 -j ACCEPT
拒绝单一的 IP:192.168.2.26访问 端口:22
- firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.26 -j REJECT
指定删除已配置的规则
- firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 192.168.2.26 -j REJECT
如果您觉得有帮助,欢迎点赞哦 ~ 谢谢!!