常用命令介紹
firewall-cmd –state ##查看防火墻狀態(tài)，是否是running
firewall-cmd –reload ##重新載入配置，比如添加規(guī)則之后，需要執(zhí)行此命令
firewall-cmd –get-zones ##列出支持的zone
firewall-cmd –get-services ##列出支持的服務(wù)，在列表中的服務(wù)是放行的
firewall-cmd –query-service ftp ##查看ftp服務(wù)是否支持，返回yes或者no
firewall-cmd –add-service=ftp ##臨時(shí)開放ftp服務(wù)
firewall-cmd –add-service=ftp –permanent ##永久開放ftp服務(wù)
firewall-cmd –remove-service=ftp –permanent ##永久移除ftp服務(wù)
firewall-cmd –add-port=80/tcp –permanent ##永久添加80端口
iptables -L -n ##查看規(guī)則，這個(gè)命令是和iptables的相同的
man firewall-cmd ##查看幫助

直接關(guān)閉防火墻
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall開機(jī)啟動(dòng)

firewall 配置

The?configuration?for?firewalld?is?stored in various XML files

in /usr/lib/firewalld and /etc/firewalld

 

This allows a great deal of flexibility as the files can be edited, written to, backed up, used as templates for other installations and so on.

注意：以下firewalld 的操作只有重啟之后才有效：service firewalld restart

1、系統(tǒng)配置目錄

/usr/lib/firewalld/services

目錄中存放定義好的網(wǎng)絡(luò)服務(wù)和端口參數(shù)，系統(tǒng)參數(shù)，不能修改。

2、用戶配置目錄

/etc/firewalld/

3、如何自定義添加端口

用戶可以通過修改配置文件的方式添加端口，也可以通過命令的方式添加端口，注意：修改的內(nèi)容會(huì)在/etc/firewalld/目錄下的配置文件中體現(xiàn)。

3.1 、命令的方式添加端口：

firwall-cmd –permanent –add-port=9527/tcp

 

 

參數(shù)介紹：

1、firwall-cmd：是Linux提供的操作firewall的一個(gè)工具；2、–permanent：表示設(shè)置為持久；3、–add-port：標(biāo)識(shí)添加的端口；

另外，firewall中有Zone的概念，可以將具體的端口制定到具體的zone配置文件中。

例如：添加8010端口

firewall-cmd –zone=public –permanent –add-port=8010/tcp

 

–zone=public：指定的zone為public；

如果–zone=dmz 這樣設(shè)置的話，會(huì)在dmz.xml文件中新增一條。

l? 3.2、修改配置文件的方式添加端口

<?xml version=”1.0″ encoding=”utf-8″?><zone>?? <short>Public</short>?? <description>For use in public areas.</description>?? <rule family=”ipv4″>???? <source address=”122.10.70.234″/>???? <port protocol=”udp” port=”514″/>???? <accept/>?? </rule>?? <rule family=”ipv4″>???? <source address=”123.60.255.14″/>???? <port protocol=”tcp” port=”10050-10051″/>???? <accept/>?? </rule>? <rule family=”ipv4″>???? <source address=”192.249.87.114″/> 放通指定ip，指定端口、協(xié)議???? <port protocol=”tcp” port=”80″/>???? <accept/>?? </rule><rule family=”ipv4″> 放通任意ip訪問服務(wù)器的9527端口???? <port protocol=”tcp” port=”9527″/>???? <accept/>?? </rule></zone>

l

上述的一個(gè)配置文件可以很好的看出：

1、添加需要的規(guī)則，開放通源ip為122.10.70.234，端口514，協(xié)議tcp； 2、開放通源ip為123.60.255.14，端口10050-10051，協(xié)議tcp；/3、開放通源ip為任意，端口9527，協(xié)議tcp；

 

firewall常用命令

1、重啟、關(guān)閉、開啟、firewalld.serverice?服務(wù)

Service?firewalld?restart?重啟

Service?firewalld?start? 開啟

Service?firewalld?stop? 關(guān)閉

 

systemctl?status?firewalld

systemctl?stop?firewalld ?關(guān)閉

systemctl?start?firewalld 開啟

systemctl? restart?firewalld 重啟

systemctl? disable?firewalld? 關(guān)閉開機(jī)啟動(dòng)

2、查看狀態(tài)

firewall-cmd –state

3、查看防火墻規(guī)則

firewall-cmd –list-all

 

Centos 切換為iptables防火墻

 

切換到iptables首先應(yīng)該關(guān)掉默認(rèn)的firewalld，然后安裝iptables服務(wù)。

1、關(guān)閉firewall：

service firewalld stop systemctl disable firewalld.service #禁止firewall開機(jī)啟動(dòng)

 

2、安裝iptables防火墻

yum install iptables-services #安裝

 

3、編輯iptables防火墻配置

vi /etc/sysconfig/iptables #編輯防火墻配置文件

 

下邊是一個(gè)完整的配置文件：

Firewall configuration written by system-config-firewall? Manual customization of this file is not recommended.? *filter? :INPUT ACCEPT [0:0]? :FORWARD ACCEPT [0:0]? :OUTPUT ACCEPT [0:0]? -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT? -A INPUT -p icmp -j ACCEPT? -A INPUT -i lo -j ACCEPT? -A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT? -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT? -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT? -A INPUT -j REJECT –reject-with icmp-host-prohibited? -A FORWARD -j REJECT –reject-with icmp-host-prohibited? COMMIT

l

:wq! #保存退出

service iptables start #開啟systemctl enable iptables.service #設(shè)置防火墻開機(jī)啟動(dòng)