(实用)防火墙软件firewall的常用命令

889 阅读3分钟

这是我参与11月更文挑战的第17天,活动详情查看:2021最后一次更文挑战

一.firewall简要介绍

firewallCentos7默认启用的防火墙工具

firewalld通过定义的在/usr/lib/firewalld下面的xml配置信息,在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成iptables规则后,再应用到系统中

firewall-cmdfirewalld客户端命令行,可以用来控制firewalld

此文章的定义是实用

二.firewal启动,停用,关闭,查看状态

1.查看状态

systemctl status firewalld 或者 firewall-cmd --state

2.启动

systemctl start firewalld

3.关闭

systemctl stop firewalld

4.停用

systemctl disable firewalld

5.其他

开机启动systemctl enable firewalld

查看已启动的服务列表systemctl list-unit-files|grep enabled

查看启动失败的服务列表systemctl --failed

三.查看firewall所有的策略

$ firewall-cmd --list-all

    target: default
    icmp-block-inversion: no
    interfaces: enp0s3 enp0s8
    sources: 
    services: ssh dhcpv6-client
    ports: 80/tcp 8099/tcp 8098/tcp
    protocols: 
    masquerade: no
    forward-ports: 
    source-ports: 
    icmp-blocks: 
    rich rules: 

四.添加删除ip和端口

--permanent永久生效,没有此参数重启后失效

1.更新防火墙规则

firewall-cmd --reload

修改之后必须重新载入

2.端口相关

1).添加一个永久端口

firewall-cmd --add-port=80/tcp --permanent

(此处添加的是80端口)

2).删除一个端口

firewall-cmd --remove-port=80/tcp --permanent

3).查看所有打开的端口

firewall-cmd  --list-ports

此小结均没有添加 zone 参数, 如不添加 默认为[--zone=public]

3.ip相关

1).禁止允许特定ip访问8080端口

firewall-cmd --permanent  --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" reject"

2).允许特定ip访问8080端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

3).删除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

将add变成remove即为删除规则

五.转发

1).开启伪装IP

firewall-cmd --permanent --add-masquerade

2).将80端口的流量转发至8080

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080  --permanent

3).将80端口的流量转发至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1  --permanent

4).将80端口的流量转发至192.168.0.1的8080端口

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080  --permanent

结束语

尽信书则不如,以上内容,纯属一家之言,因个人能力有限,难免有疏漏和错误之处,如发现bug或者有更好的建议,欢迎批评指正,不吝感激

如果您喜欢我的文章,可以[关注]+[点赞]+[评论],您的三连是我前进的动力,期待与您共同成长~

    作者:ZOUZDC
    链接:https://juejin.cn/post/7028963866063306760
    来源:稀土掘金
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。