紅帽7中firewall經常使用指令

1.端口管理

(1)列出DMZ區域開放的端口

~]#firewall-cmd --zone=dmz --list-ports

(2)8080端口加入dmz區

~]#firewall-cmd --zone=dmz --add-port=8080/tcp

(3)將UDP端口段加入public區域,並永久生效

~]#firewall-cmd --zone=public --add-port=5060-5070/udp --permanent

2.網卡管理

(1)列出public zone全部網卡

~]#firewall-cmd --zone=public  --list-interfaces

(2)將eno1添加到public區域,並使其永久生效

~]#firewall-cmd --zone=public --permanent --add-interface=eno1

(3)將eno1從public區域刪除,並添加到work zone,使其永久生效

~]#firewall-cmd --zone=work --permanent --change-interfaces=eno1
~]#firewall-cmd --zone=public --permanent --remove-interfaces=eno1

3.服務管理

(1)將SMTP服務添加到work zone

~]#firewall-cmd --zone=work --add-service=smtp

(2)移除work zone中的SMTP服務

~]#firewall-cmd --zone=work --permanent --remove-service=smtp

4.配置IP地址假裝

~]#firewall-cmd --zone=external --query-masquerade        #查看地址假裝
~]#firewall-cmd --zone=external --add-masquerade        #開啓假裝
~]#firewall-cmd --zone=external --remove-masquerade    #關閉假裝

5.配置public zone端口轉發

~]#firewall-cmd --zone=public --add-masquerade        #端口須要先開啓IP地址假裝
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toport=3753     #轉發TCP 22端口到3753
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toaddr=172.16.12.152       #轉發TCP 22端口到另外一個IP地址的相同端口上
~]#firewall-cmd --zone=public --add-forward-port=port=22:proto=TCP:toport=2049:toaddr=172.16.12.163     #轉發TCP 22端口到另外一個IP的2049端口

6.配置public區域的icmp

~]#firewall-cmd --get-icmptypes        #查看全部支持的icmp類型

~]#firewall-cmd --zone=public --list-icmp-blocks        #列出icmp阻塞
~]#firewall-cmd --zone=public --add-icmp-block=echo-request --timeout=seconds        #添加echo-request屏蔽
~]#firewall-cmd --zone=public --remove-icmp-block=echo-reply        #移除echo-reply阻塞

7.封禁IP

~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.100' reject"        #禁止單個IP地址
~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.0/24' reject"        #禁止IP地址段
~]#firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.16.12.200 port port=80 protocol=tcp accept"    #只容許172.16.12.200的80端口的tcp訪問