# [linux防火墻查看狀態firewall、iptable](https://www.cnblogs.com/zxg-blog/p/9835263.html) 一、iptables防火墻 ``` 1. `iptables -L`：列出當前的 iptables 規則列表； 2. `iptables -A`：向 iptables 規則鏈中添加一條新規則； 3. `iptables -D`：從 iptables 規則鏈中刪除一條規則； 4. `iptables -I`：在 iptables 規則鏈中插入一條新規則； 5. `iptables -P`：設置 iptables 規則鏈的默認策略； 6. `iptables -N`：創建一個新的用戶自定義的 iptables 規則鏈； 7. `iptables -F`：清空 iptables 規則鏈中所有的規則； 8. `iptables -Z`：將 iptables 規則鏈中所有計數器清零； 9. `iptables -X`：刪除用戶自定義的 iptables 規則鏈 ``` ``` `iptables -I`用于在規則鏈的開頭插入規則，而 `iptables -A`用于在規則鏈的末尾添加規則 ``` 例子： INPUT 規則鏈的開頭插入規則 `iptables -I INPUT <rule>` 在 INPUT 規則鏈的末尾添加規則 `iptables -A INPUT <rule>` ***** 1、基本操作 \# 查看防火墻狀態 `service iptables status` \# 停止防火墻 `service iptables stop` \# 啟動防火墻 `service iptables start?` \# 重啟防火墻 `service iptables restart?`? \# 永久關閉防火墻 `chkconfig iptables off`?? \# 永久關閉后重啟 `chkconfig iptables?on`　　 2、開啟80端口 `vim /etc/sysconfig/iptables` \# 加入如下代碼 `-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT ` 保存退出后重啟防火墻 `service iptables restart` 二、firewall防火墻 1、查看firewall服務狀態 `systemctl status firewalld` 出現Active: active (**running**)切高亮顯示則表示是啟動狀態。 出現?Active: inactive (**dead**)灰色表示停止，看單詞也行。 2、查看firewall的狀態 `firewall-cmd --state` 3、開啟、重啟、關閉、firewalld.service服務 \# 開啟 `service firewalld start` \# 重啟 `service firewalld restart` \# 關閉 `service firewalld stop` 4、查看防火墻規則 `firewall-cmd --list-all` 5、查詢、開放、關閉端口 \# 查詢端口是否開放 `firewall-cmd --query-port=8080/tcp` \# 開放80端口 `firewall-cmd --permanent --add-port=80/tcp` \# 移除端口 `firewall-cmd --permanent --remove-port=8080/tcp` #重啟防火墻(**修改配置后要重啟防火墻**) `firewall-cmd --reload` \# 參數解釋 1、**firwall-cmd**：是Linux提供的操作firewall的一個工具； 2、**--permanent**：表示設置為持久； 3、**--add-port**：標識添加的端口； ***** **Firewalld防火墻**： **/usr/lib/firewalld** 程序文件和庫文件（安裝目錄） /etc/firewalld 配置文件和規則文件（配置目錄） ***** ***** **方法2**、修改配置文件 **/etc/firewalld/zones/public.xml** ，重啟或重新加載配置生效 ``` firewall-cmd?--reload ``` ``` //指定ip開放指定端口 firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" accept' // 查詢服務 # firewall-cmd --list-service // 先移除默認開啟的沒有訪問限制的ssh服務 # firewall-cmd --permanent --remove-service=ssh # firewall-cmd --permanent --remove-service=dhcpv6-client # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="117.25.158.157" accept' // 添加復雜規則,只允許指定IP段訪問22端口 # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="17.25.158.157" port protocol="tcp" port="80" accept' # firewall-cmd --permanent --add-source=117.29.164.90 # firewall-cmd --permanent --remove-source=117.29.164.90 # firewall-cmd --list-all # firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="117.29.164.90" port protocol="tcp" port="80" accept' # firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address=" 117.29.164.90" port protocol="tcp" port="9001" accept" # firewall-cmd --reload ```