防火墻firewall-cmd命令詳解 · php開發筆記

CentOS7 以上版本系統? 防火墻firewall-cmd命令詳解 # 一、centos7版本對防火墻進行加強,不再使用原來的iptables，啟用firewalld # 1.firewalld的基本使用啟動：? systemctl start firewalld 查狀態：systemctl status firewalld? 停止：? systemctl disable firewalld 禁用：? systemctl stop firewalld 在開機時啟用一個服務：systemctl enable firewalld.service 在開機時禁用一個服務：systemctl disable firewalld.service 查看服務是否開機啟動：systemctl is-enabled firewalld.service 查看已啟動的服務列表：systemctl list-unit-files|grep enabled 查看啟動失敗的服務列表：systemctl --failed # 2.配置firewalld-cmd 查看版本： firewall-cmd --version 查看幫助： firewall-cmd --help 顯示狀態： firewall-cmd --state 查看所有打開的端口： firewall-cmd --zone=public --list-ports 更新防火墻規則： firewall-cmd --reload 查看區域信息:? firewall-cmd --get-active-zones 查看指定接口所屬區域： firewall-cmd --get-zone-of-interface=eth0 拒絕所有包：firewall-cmd --panic-on 取消拒絕狀態： firewall-cmd --panic-off 查看是否拒絕： firewall-cmd --query-panic # 3.添加/刪除? 一條規則添加 firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和訪問類型) --permanent(永久生效) firewall-cmd --zone=public --add-service=http --permanent firewall-cmd --reload? ? # 重新載入，更新防火墻規則 firewall-cmd --zone= public --query-port=80/tcp? #查看刪除 firewall-cmd --zone= public --remove-port=80/tcp --permanent? # 刪除 firewall-cmd --list-services firewall-cmd --get-services firewall-cmd --add-service=<service> firewall-cmd --delete-service=<service> 在每次修改端口和服務后/etc/firewalld/zones/public.xml文件就會被修改,所以也可以在文件中之間修改,然后重新加載使用命令實際也是在修改文件，需要重新加載（firewall-cmd --reload）才能生效。 firewall-cmd --zone=public --query-port=80/tcp firewall-cmd --zone=public --query-port=8080/tcp firewall-cmd --zone=public --query-port=3306/tcp firewall-cmd --zone=public --add-port=8080/tcp --permanent firewall-cmd --zone=public --add-port=3306/tcp --permanent firewall-cmd --zone=public --query-port=3306/tcp firewall-cmd --zone=public --query-port=8080/tcp firewall-cmd --reload? # 重新加載后才能生效 firewall-cmd --zone=public --query-port=3306/tcp firewall-cmd --zone=public --query-port=8080/tcp # 4.參數解釋 –add-service #添加的服務 –zone #作用域 –add-port=80/tcp #添加端口，格式為：端口/通訊協議 –permanent #永久生效，沒有此參數重啟后失效 # 5.使用舉例 firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept'? ? //設置某個ip訪問某個服務 firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //刪除配置 firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'? ? ?//設置某個ip訪問某個端口 firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'? ? ?//刪除配置 firewall-cmd --query-masquerade? # 檢查是否允許偽裝IP firewall-cmd --add-masquerade? ? # 允許防火墻偽裝IP firewall-cmd --remove-masquerade # 禁止防火墻偽裝IP firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080? ?# 將80端口的流量轉發至8080 firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 將80端口的流量轉發至192.168.0.1 firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 將80端口的流量轉發至192.168.0.1的8080端口 ## 二、centos7以下版本 # 1.開放80，22，8080 端口 /sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT # 2.保存 /etc/rc.d/init.d/iptables save # 3.查看打開的端口 /etc/init.d/iptables status # 4.關閉防火墻? 1）永久性生效，重啟后不會復原開啟： chkconfig iptables on 關閉： chkconfig iptables off 2）即時生效，重啟后復原關閉： service iptables stop 開啟： service iptables start ----------------------------------- 防火墻firewall-cmd命令詳解