firewall

2021-03-05 11:09:35 浏览数 (1)

Firewall-cmd基本命令

代码语言:javascript复制
# 查看防火墙状态
firewall-cmd --state # not running/ running
# 查看已开端口
firewall-cmd --list-ports
# 使新添加的端口生效
firewall --reload 
# 更新防火墙规则,重启服务
firewall-cmd --completely-reload

服务启动

代码语言:javascript复制
# 开启
systemctl start firewalld.service
# 开机自启
systemctl enable firewalld.service
# 关闭开机自启
systemctl disable firewalld.service
# 重启
systemctl restart firewalld.service
# 是否自启
systemctl is-enable firewalld.service
# 查看服务是否开机启动
systemctl is-enabled firewalld.service
# 查看已启动的服务列表
systemctl list-unit-files|grep enabled
# 查看启动失败的服务列表
systemctl --failed

端口开关

代码语言:javascript复制
# 开端口命令
firewall-cmd --zone=public --add-port=80/tcp --permanent
# 命令含义:
#	--zone #作用域,
#	--add-port=80/tcp  #添加端口,格式为:端口/通讯协议,
#	--permanent   #永久生效,没有此参数重启后失效
# 查看
firewall-cmd --zone=public --query-port=80/tcp
# 删除
firewall-cmd --zone=public --remove-port=80/tcp --permanent
代码语言:javascript复制
# 查看已激活的Zone信息
firewall-cmd --get-active-zones
# 查看指定接口所属区域
firewall-cmd --get-zone-of-interface=eth0
# 拒绝所有包
firewall-cmd --panic-on
# 取消拒绝状态: 
firewall-cmd --panic-off
# 查看是否拒绝
firewall-cmd --query-panic

信任级别

代码语言:javascript复制
信任级别,通过Zone的值指定
drop: 丢弃所有进入的包,而不给出任何响应 
block: 拒绝所有外部发起的连接,允许内部发起的连接 
public: 允许指定的进入连接 
external: 同上,对伪装的进入连接,一般用于路由转发 
dmz: 允许受限制的进入连接 
work: 允许受信任的计算机被限制的进入连接,类似 workgroup 
home: 同上,类似 homegroup 
internal: 同上,范围针对所有互联网用户 
trusted: 信任所有连接

服务管理

代码语言:javascript复制
# 以smtp服务为例, 添加到work zone
# 添加:
firewall-cmd --zone=work --add-service=smtp
# 查看:
firewall-cmd --zone=work --query-service=smtp
# 删除:
firewall-cmd --zone=work --remove-service=smtp

IP地址伪装

代码语言:javascript复制
# 查看:
firewall-cmd --zone=external --query-masquerade
# 打开:
firewall-cmd --zone=external --add-masquerade
# 关闭:
firewall-cmd --zone=external --remove-masquerade

端口转发

代码语言:javascript复制
# 打开端口转发,首先需要打开IP地址伪装
firewall-cmd --zone=external --add-masquerade
# 转发 tcp 22 端口至 3753:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
# 转发端口数据至另一个IP的相同端口:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
# 转发端口数据至另一个IP的 3753 端口:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp::toport=3753:toaddr=192.168.1.112
cmd firewall ip 服务 管理

0 人点赞