# 关闭 firewalld
[root@kylin-vm]# systemctl stop firewalld.service
# 启动 firewalld
[root@kylin-vm]# systemctl start firewalld.service
# 把 firewalld 加入到系统服务
[root@kylin-vm]# systemctl enable firewalld.service
# 从系统服务移除
[root@kylin-vm]# systemctl disable firewalld.service
rm'/etc/systemd/system/basic.target.wants/firewalld.service'
rm'/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
# 查看 firewalld 状态 两种方法 2 选 1 即可
[root@kylin-vm]# firewall-cmd --state
running
[root@kylin-vm]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
# 重读防火墙
# 以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息:
[root@kylin-vm~]# firewall-cmd --reload
success
# 以 root 身份输入以下信息,重新加载防火墙并中断用户连接,即丢弃状态信息:
[root@kylin-vm~]# firewall-cmd --complete-reload
success
# 注意:通常在防火墙出现严重问题时,这个命令才会被使用。比如,防火墙规则是正
确的,但却出现状态信息问题和无法建立连接。
区域操作:
# 获取支持的区域(zone)列表
[root@kylin-vm]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
# 获取所有支持的服务
[root@kylin-vm]# firewall-cmd --get-services
RH-Satellite-6amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client
dnsftphigh-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap
ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy
pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba
samba-client smtpsshtelnet tftp tftp-client transmission-client vnc-server
wbem-https
# 获取所有支持的 ICMP 类型
[root@kylin-vm]# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect
router-advertisement router-solicitation source-quench time-exceeded
# 列出全部启用的区域的特性
[root@kylin-vm]# firewall-cmd --list-all-zones
# 输出格式是:
<zone>
interfaces:<interface1>..
services:<service1>..
ports:<port1>..
forward-ports:<forward port1>..
icmp-blocks:<icmp type1>..
# 输出区域 <zone> 全部启用的特性。如果省略区域,将显示默认区域的信息。
firewall-cmd [–zone=<zone>] –list-all
[root@kylin-vm]# firewall-cmd --list-all
public(default, active)
interfaces: eno16777736
sources:
services: dhcpv6-clientssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@kylin-vm]# firewall-cmd --zone=work --list-all
work
interfaces:
sources:
services: dhcpv6-client ipp-clientssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
# 获取默认区域的网络设置
[root@kylin-vm]# firewall-cmd --get-default-zone
public
# 设置默认区域
[root@kylin-vm]# firewall-cmd --set-default-zone=work
success
# 注意:流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的
连接将不受影响。
# 获取活动的区域
[root@kylin-vm]# firewall-cmd --get-active-zones
work
interfaces: eno16777736
# 根据接口获取区域
firewall-cmd –get-zone-of-interface=<interface>
[root@kylin-vm]# firewall-cmd --get-zone-of-interface=eno16777736
public
## 以下关于区域和接口的操作,可以根据实际情况修改.
# 将接口增加到区域
firewall-cmd[--zone=<zone>]--add-interface=<interface>
# 如果接口不属于区域,接口将被增加到区域。如果区域被省略了,将使用默认区域。
接口在重新加载后将重新应用。
# 修改接口所属区域
firewall-cmd[--zone=<zone>]--change-interface=<interface>
# 这个选项与 –add-interface 选项相似,但是当接口已经存在于另一个区域的时候,
该接口将被添加到新的区域。
# 从区域中删除一个接口
firewall-cmd[--zone=<zone>]--remove-interface=<interface>
# 查询区域中是否包含某接口
firewall-cmd[--zone=<zone>]--query-interface=<interface>
# 注意:返回接口是否存在于该区域。没有输出。
# 列举区域中启用的服务
firewall-cmd[--zone=<zone>]--list-services
# 这两条简单点说,就是断网和连网.
# 启用应急模式阻断所有网络连接,以防出现紧急状况
firewall-cmd--panic-on
# 禁用应急模式
firewall-cmd--panic-off
# 查询应急模式
firewall-cmd--query-panic
# 启用区域中的一种服务
firewall-cmd[--zone=<zone>]--add-service=<service>[--timeout=<seconds>
]
# 此举启用区域中的一种服务。如果未指定区域,将使用默认区域。如果设定了超时
时间,服务将只启用特定秒数。如果服务已经活跃,将不会有任何警告信息。
# 例: 使区域中的 ipp-client 服务生效 60 秒:
firewall-cmd --zone=home--add-service=ipp-client--timeout=60
# 例: 启用默认区域中的 http 服务:
firewall-cmd --add-service=http
# 禁用区域中的某种服务
firewall-cmd [--zone=<zone>]--remove-service=<service>
# 此举禁用区域中的某种服务。如果未指定区域,将使用默认区域。
# 例: 禁止 home 区域中的 http 服务:
48KOSE 实验指导手册
firewall-cmd--zone=home--remove-service=http
# 区域种的服务将被禁用。如果服务没有启用,将不会有任何警告信息。
# 查询区域中是否启用了特定服务
firewall-cmd[--zone=<zone>]--query-service=<service>
# 如果服务启用,将返回 1,否则返回 0。没有输出信息。
# 启用区域端口和协议组合
firewall-cmd[--zone=<zone>]--add-port=<port>[-<port>]/<protocol>[--tim
eout=<seconds>]
# 此举将启用端口和协议的组合。端口可以是一个单独的端口 <port> 或者是一个端
口范围 <port>-<port> 。协议可以是 tcp 或 udp。
# 禁用端口和协议组合
firewall-cmd[--zone=<zone>]--remove-port=<port>[-<port>]/<protocol>
# 查询区域中是否启用了端口和协议组合
firewall-cmd[--zone=<zone>]--query-port=<port>[-<port>]/<protocol>
# 如果启用,此命令将有返回值。没有输出信息。
# 启用区域中的 IP 伪装功能
firewall-cmd[--zone=<zone>]--add-masquerade
# 此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有 IP。这是地
址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于 IPv4。
# 禁用区域中的 IP 伪装
firewall-cmd[--zone=<zone>]--remove-masquerade
# 查询区域的伪装状态
firewall-cmd[--zone=<zone>]--query-masquerade
# 如果启用,此命令将有返回值。没有输出信息。
# 启用区域的 ICMP 阻塞功能
firewall-cmd[--zone=<zone>]--add-icmp-block=<icmptype>
# 此举将启用选中的 Internet 控制报文协议 (
ICMP) 报文进行阻塞。 ICMP 报文
可以是请求信息或者创建的应答报文,以及错误应答。
# 禁止区域的 ICMP 阻塞功能
firewall-cmd[--zone=<zone>]--remove-icmp-block=<icmptype>
# 查询区域的 ICMP 阻塞功能
firewall-cmd[--zone=<zone>]--query-icmp-block=<icmptype>
# 如果启用,此命令将有返回值。没有输出信息。
# 例: 阻塞区域的响应应答报文:
firewall-cmd--zone=public--add-icmp-block=echo-reply
# 在区域中启用端口转发或映射
firewall-cmd[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:pro
to=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<p
ort>]:toaddr=<address>}
# 端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。
端口号可以是一个单独的端口 <port> 或者是端口范围 <port>-<port> 。协议可以为
tcp 或 udp 。目标端口可以是端口号 <port> 或者是端口范围 <port>-<port> 。目标
地址可以是 IPv4 地址。受内核限制,端口转发功能仅可用于 IPv4。
# 禁止区域的端口转发或者端口映射KOSE 实验指导手册
firewall-cmd[--zone=<zone>]--remove-forward-port=port=<port>[-<port>]:
proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[
-<port>]:toaddr=<address>}
# 查询区域的端口转发或者端口映射
firewall-cmd[--zone=<zone>]--query-forward-port=port=<port>[-<port>]:p
roto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-
<port>]:toaddr=<address>}
# 如果启用,此命令将有返回值。没有输出信息。
# 例: 将区域 home 的 ssh 转发到 127.0.0.2
firewall-cmd--zone=home--add-forward-port=port=22:proto=tcp:toaddr=12
7.0.0.2
|
|
|
|
|
|
|
|
|
版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报
私信
