查看默认区域
[root@localhost ~]# firewall-cmd --get-default-zone
public
#如果不是public,改为public
firewall-cmd --set-default-zone=public
关闭端口访问
此处区域中的端口如果开放,是所有ip都可以进行访问。全部删掉
#查询打开的端口
firewall-cmd --zone=public --list-ports
#查询打开的服务
firewall-cmd --list-service
#列出所有策略
firewall-cmd --list-all
#列出区域是公共的所有策略
firewall-cmd --list-all --zone public
关闭区域端口,如果端口未开启则无需关闭。
#关闭端口9001
firewall-cmd --zone=public --remove-port=9001/tcp --permanent
#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
#查询打开的端口
firewall-cmd --zone=public --list-port
#查看已设置规则
firewall-cmd --zone=public --list-all
添加富规则
只有富规则能进行精细化限制。区域规则会覆盖掉富规则。
#允许192.168.101.*访问22端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.101.0/24" port port="22" protocol="tcp" accept'
#删除规则
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.119" port protocol="tcp" port="8081" accept'
#允许访问ssh服务
firewall-cmd --zone=public --add-service=ssh/tcp --permanent
#拒绝访问ssh服务
firewall-cmd --zone=public --remove-service=ssh --permanent
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
#拒绝所有端口访问
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" port protocol="tcp" port="0-65535" reject'
#重新载入一下防火墙设置,使设置生效
firewall-cmd --reload
firewall-cmd的区域概念
trusted(信任区域)| 允许所有的传入流量
public(公共区域) 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
external(外部区域) 允许与ssh预定义服务匹配的传入流量其余均拒绝
home(家庭区域) 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。
internal(内部区域) 默认值与home区域相同
work(工作区域) 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝
dmz(隔离区域也称非军事区域) 允许与ssh预定义服务匹配的传入流量,其他均拒绝
block(限制区域) 拒绝所有传入流量
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含icmp的错误响应