二.操作命令
启动
systemctl start firewalld
查看状态
systemctl status firewalld
/ firewall-cmd --state
停止
systemctl stop firewalld
禁用
systemctl disable firewalld
三.使用命令
firewall的状态
查看防火墙的状态
--state
重新加载防火墙,中断用户的连接,将临时配置清掉,加载配置文件中的永久配置
--reload
重新加载防火墙,不中断用户的连接(防火墙出严重故障时使用)
--complete-reload
紧急模式,强制关闭所有网络连接,–panic-off是关闭紧急模式
--panic-on
配置集
使用firewall-cmd添加的操作,重启会失效
添加**–permanent**可以写到配置文件里,永久生效
firewall-cmd --zone=public --add-service=http
区域
可以将配置写到不同与其中,例如public区域允许22端口,而external则允许80端口访问。这样登陆机器开启public,而提供服务的机器开启external。
查看支持的所有ICMP类型
--get-icmptypes
查看所有区域
--get-zones
查看当前的默认区域
--get-default-zone
更改默认的区域
--set-default-zone=work
查看当前正在使用的区域
--get-active-zones
查看当前区域支持的服务
--get-services
查看当前区域开放的服务列表
--list-services
查看此区域内的所有配置,类似与iptables -L -n
--zone=public --list-all
查看所有区域配置
--list-all-zones
限制规则
add添加 remove删除/禁用
将网络接口添加到默认的区域内
--add-interface=eth0
将网络接口在默认的区域内删除
--remove-interface=eth0
添加端口到区域开放列表中
--add-port=12222/tcp
将端口范围添加到开放列表中
--add-port=5000-10000/tcp
添加服务到区域开放列表中(注意服务的名称需要与此区域支持的服务列表中的名称一致)
--add-service=ftp
区域内将http服务删除在开放列表中删除
--remove-service=ftp
添加源地址的流量到指定区域
--add-source=192.168.1.1
删除源地址的流量到指定区域
--remove-source=192.168.1.1
改变指定的接口到其他区域
--change-interface=eth1
确定该网卡接口是否存在于此区域
--query-interface=eth1
开启SNAT(源地址转换)
--add-masquerade
查询SNAT的状态
--query-masquerade
开启SNAT(源地址转换)
--add-masquerade
端口转发,本地513到其他机器的22端口,要开启masquerade
--add-forward-port=port=513:proto=tcp:toport=22:toaddr=192.168.100.101