1.查看防火牆的狀態
[root@localhost HMK]# firewall-cmd --state 查看防火牆的運行狀態 not running
[root@localhost HMK]# systemctl status firewalld.service 查看防火牆服務是否開啓,能夠把 .service去掉
[root@localhost HMK]# systemctl status firewall 查看防火牆服務是否開啓 ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man:firewalld(1)
[root@localhost HMK]#
2.開啓防火牆
開啓防火牆(重啓服務器後又會從新關閉) [root@localhost HMK]# systemctl start firewalld.service 設置防火牆開機自動啓動 [root@localhost HMK]# systemctl enable firewalld.service
重啓防火牆
[root@localhost HMK]# systemctl restart firewalld.service
3.查看 firewalld 服務當前所使用的區域
[root@localhost HMK]# firewall-cmd --get-default-zone public [root@localhost HMK]#
4.爲默認區域開啓端口(容許該端口的流量)
[root@localhost HMK]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@localhost HMK]#
命令含義:
–zone #指定區域
–add-port=80/tcp #添加端口,格式爲:<端口號/協議>
–permanent #永久生效,沒有此參數重啓後失效
非永久生效的端口
[root@localhost HMK]# firewall-cmd --zone=public --add-port=3002/tcp
success
從新載入配置,須要執行此命令
[root@localhost HMK]# firewall-cmd --reload
查看開放的端口時,須要區分是否爲永久生效
[root@localhost HMK]# firewall-cmd --permanent --list-port 加上 -- permanent ,能夠列出永久開放的端口
80/tcp
從新載入配置,須要執行此命令
[root@localhost HMK]# firewall-cmd --reload
[root@localhost HMK]# firewall-cmd --list-port 未加 --permanent , 列出非永久開放的端口
3002/tcp
[root@localhost HMK]# firewall-cmd --permanent --zone=public --list-ports 查看開放端口時,也能夠指定區域 --zone
80/tcp
[root@localhost HMK]#
須要注意的是,添加或刪除端口後,須要重啓防火牆!!!可是每次加完端口後,加入這個下面這個命令,從新載入配置,就不用重啓:
[root@localhost HMK]# firewall-cmd --reload
5.關閉防火牆
[root@localhost HMK]# systemctl stop firewalld.service
6.其餘命令
安裝firewalld:yum install firewalld
一、firewalld的基本使用
啓動: systemctl start firewalld
查看狀態: systemctl status firewalld
禁用,禁止開機啓動: systemctl disable firewalld
中止運行: systemctl stop firewalld
2.配置firewalld-cmd
查看版本: firewall-cmd --version
查看幫助: firewall-cmd --help
顯示狀態: firewall-cmd --state
查看全部打開的端口: firewall-cmd --zone=public --list-ports
更新防火牆規則: firewall-cmd --reload
更新防火牆規則,重啓服務: firewall-cmd --completely-reload
查看已激活的Zone信息: firewall-cmd --get-active-zones
查看指定接口所屬區域: firewall-cmd --get-zone-of-interface=eth0
拒絕全部包:firewall-cmd --panic-on
取消拒絕狀態: firewall-cmd --panic-off
查看是否拒絕: firewall-cmd --query-panic
3.信任級別,經過Zone的值指定
drop: 丟棄全部進入的包,而不給出任何響應
block: 拒絕全部外部發起的鏈接,容許內部發起的鏈接
public: 容許指定的進入鏈接
external: 同上,對假裝的進入鏈接,通常用於路由轉發
dmz: 容許受限制的進入鏈接
work: 容許受信任的計算機被限制的進入鏈接,相似 workgroup
home: 同上,相似 homegroup
internal: 同上,範圍針對全部互聯網用戶
trusted: 信任全部鏈接html
4.firewall開啓和關閉端口
如下都是指在public的zone下的操做,不一樣的Zone只要改變Zone後面的值就能夠
添加:
firewall-cmd
--zone=public --add-port=80/tcp --permanent (--permanent永久生效,沒有此參數重啓後失效)
從新載入:
firewall-cmd --reload
查看:
firewall-cmd --zone=public --query-port=80/tcp
刪除:
firewall-cmd
--zone=public --remove-port=80/tcp --permanent
5.管理服務
以smtp服務爲例, 添加到work zone
添加:
firewall-cmd
--zone=work --add-service=smtp
查看:
firewall-cmd --zone=work --query-service=smtp
刪除:
firewall-cmd
--zone=work --remove-service=smtp
5.配置 IP 地址假裝
查看:
firewall-cmd --zone=external --query-masquerade
打開:
firewall-cmd
--zone=external --add-masquerade
關閉:
firewall-cmd
--zone=external --remove-masquerade
6.端口轉發
打開端口轉發,首先須要打開IP地址假裝
firewall-cmd --zone=external --add-masquerade
轉發 tcp 22 端口至 3753:
firewall-cmd
--zone=external --add-forward-port=22:porto=tcp:toport=3753
轉發端口數據至另外一個IP的相同端口:
firewall-cmd
--zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
轉發端口數據至另外一個IP的 3753 端口:
firewall-cmd
--zone=external --add-forward-port=22:porto=tcp::toport=3753:toaddr=192.168.1.112
7.systemctl是CentOS7的服務管理工具中主要的工具,它融合以前service和chkconfig的功能於一體。
啓動一個服務:systemctl start firewalld.service
關閉一個服務:systemctl stop firewalld.service
重啓一個服務:systemctl restart firewalld.service
顯示一個服務的狀態:systemctl status firewalld.service
在開機時啓用一個服務:systemctl enable firewalld.service
在開機時禁用一個服務:systemctl disable firewalld.service
查看服務是否開機啓動:systemctl is-enabled firewalld.service
查看已啓動的服務列表:systemctl list-unit-files|grep enabled
查看啓動失敗的服務列表:systemctl --failed 服務器