firewalld 防火墙是 Centos7 系统默认的防火墙管理工具,取代了之前的 iptables 防火墙,也是工作在网络层,属于包过滤防火墙。
1、安装 firewall yum install firewalld # centos/redhat apt install firewalld # debian/ubuntu
2、操作防火墙服务 systemctl stop firewalld.service #关闭防火墙 systemctl start firewalld.service #开户防火墙 systemctl disable firewalld.service #关闭自启 systemctl enable firewalld.service #打开自启 systemctl status firewalld.service #查看防火墙状态 systemctl is-enable firewall.service #查看服务是否开机启动 systemctl list-unit-files|grep enabled #查看已启动的服务列表 systemctl --failed #查看启动失败的服务列表
3、常用参数 -zone 作用域 -add-port=80/tcp 添加端口 -remove-port=80/tcp 移除端口 -permanent 永久生效(没有重启后失效)
4、设置防火墙 firewall-cmd --permanent --add-port=端口号/协议 #打开端口 firewall-cmd --permanent --remove-port=端口号/协议 #关闭端口 firewall-cmd --zone=public --add-port=80/tcp --permanent #打开端口 firewall-cmd --zone=public --remove-port=80tcp --permanent #关闭端口 firewall-cmd --version #查看版本 firewall-cmd --help #查看帮助 firewall-cmd –-get-zones #区域端口的分解 firewall-cmd --get-active-zones #查看区域信息 firewall-cmd –-getdefault-zone #默认区域 firewall-cmd --firewall-cmd -list-all-zone #所有区域的配置情况 firewall-cmd --reload #更新防火墙规则 firewall-cmd --state #查看状态 firewall-cmd --zone=publi --list-ports #查看所有打开的端口 firewall-cmd --query-port 80/tcp #查询端口是否开放 firewall-cmd --get-zone-of-interface=eth0 #查看指定接口所属区域 firewall-cmd --panic-on #拒绝所有包 firewall-cmd --panic-off #取消拒绝状态 firewall-cmd --query-panic #查看是否拒绝
5、使用案例
#添加
firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)
#重新载入
firewall-cmd --reload
#查看
firewall-cmd --zone= public --query-port=80/tcp
#删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent
#调整默认策略(默认拒绝所有访问,改成允许所有访问):
firewall-cmd --permanent --zone=public --set-target=ACCEPT
firewall-cmd --reload
#对某个IP开放多个端口:
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.159.60.29" port protocol="tcp" port="1:65535" accept"
firewall-cmd --reload