centos7的firewalld的命令高級應用

centos7基礎文檔三

 

一.處理運行時的區域

運行時模式下對區域進行的修改不是永久有效的，從新加載以後修改就會失效了；

1 啓用區域中的一種服務即給某個區域開機某個服務

firewall-cmc  --zone=區域名稱  --add-service=服務名稱

2 禁用區域中的某個服務即關閉某個服務

此操做禁用區域中的某個服務，

firewall-cmd  --zone=區域名稱  --remove-service=服務名稱

3查詢區域中是否啓用了特定的服務

firewall-cmd  --zone=區域名稱  --query-service=服務名稱

4啓用區域端口和協議組合

firewall-cmd   --zone=區域名稱  --add-port=端口號/協議

5.禁用端口和協議

firewall-cmd  --zone=區域名稱  --remove-port=端口號/協議

6查詢區域中是否啓用可端口和協議組合

firewall-cmd  --zone=區域名稱  --query-port=端口號/協議

7啓用區域中的ip地址假裝

firewall-cmd   --zone=區域名稱  --add-masquerade    該操做只針對ipv4有效

8禁用區域中的ip地址假裝

firewall-cmd   --zone=區域名稱  --remove-masquerade

9啓用區域中的icmp阻塞功能

firewall-cmd   --zone=區域名稱  --add-icmp-block=icmp類型    [echo-request和echo-reply]

10禁用區域中的icmp阻塞功能

firewall-cmd   --zone=區域名稱  --remove-icmp-block=icmp類型

11在區域中啓用端口轉發功能

firewall-cmd   --zone=區域名稱  --add-forward-port=port=端口號：proto=協議：toaddr=目標地址

端口能夠是一個端口也能夠是端口範圍，ip地址能夠是同一主機或者是不一樣的主機，可是端口轉發功能僅限於ipv4的ip地址

二.處理永久區域

永久選項不直接影響運行時的狀態，這些選項僅在重載或重啓服務的時候生效，爲了使用運行時和永久配置，須要分別設置二者，選項--permannet 須要時永久設置的第一參數

1獲取永久選項所支持的服務

firewall-cmd --permannet    --get-services

2.獲取永久選項所支持的icmp類型列表

firewall-cmd --permannet  --get-icmptypes

3獲取支持的永久區域

firewall-cmd  --permannet --get-zones

4配置防火牆在public區域打開http協議，並保存，以至生效

firewall-cmd --permannet  --zone=public  --add-service=http

5防火牆開放8000端口在public區域

firewall-cmd --permannet --zone=public --add-port=8000/tcp

6命令行配置富規則

查看富規則：firewall-cmd --list-rich-rules

建立富規則:firewall-cmd --add-rich-rule 'rule family=ipv4 source address=源地址  service name=服務名稱  log prefix="fpt" level=info  accept'  --permannet

7容許管理員在172.31.1.2主機經過ssh遠程管理內網的192.168.31.83主機（所用端口爲23456)

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=172.31.1.2 forward-port port=23456 protocol=tcp  to-port=10211  to-addr=192.168.31.83' --permanent  --zone=external