firewall使用指南
@auther 张念磊
@date 2020/2/9
firewall是什么?
Centos7 默认的防火墙是 firewall,替代了以前的 iptables
2、firewall 使用更加方便、功能也更加强大一些
3、firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
如何安装?
1)像使用 iptables 一样,firewall 同样需要安装
2)需要注意的是某些系统已经自带了 firewal l的,如果查看版本没有找到,则可以进行 yum安装
3)安装指令: yum install firewalld
如何使用?
示例开启80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
重新启动防火墙
firewall-cmd --reload
参数说明:
–zone 作用域
–add-port=8080/tcp 添加端口,格式为:端口/通讯协议
–permanent #永久生效,没有此参数重启后失效
在指定区域开启某个范围的端口号
(如18881~65534,命令方式)
firewall-cmd --zone=public --add-port=18881:65534/tcp --permanent
参数
| 参数 | 作用 |
|---|---|
| --version | 查看版本 |
| --get-active-zones | 查看区域信息 |
| --state | 查看防火墙状态 |
| --get-default-zone | 查询默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预先定义的服务 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= | 将源自此IP或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此IP或子网的流量导向某个指定区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式 |
| --panic-off | 关闭应急状况模式 |
其他命令
| 命令 | 解释 |
|---|---|
| firewall-cmd --zone=public --list-all | 查看公开区域的信息 |
| Firewall-cmd --list-all-zone | 查看所有区域的信息 |
| firewall-cmd --zone=public --list-ports | 查看指定区域所有开启的端口号 |
| systemctl start firewalld | 开启防火墙 |
| systemctl stop firewalld | 关闭防火墙 |
| systemctl enable firewalld | 设置开机启动 |
| sytemctl disable firewalld | 停止并禁用开机启动 |
| firewall-cmd --reload | 重启防火墙 |
| /etc/firewalld | 配置文件的路径 |