6 centos7下Firewall使用详解
1 | https://www.cnblogs.com/zqifa/p/linux-firewall-1.html |
1-1. 查看是否已安装服务firewalld
1 | rpm -qa | grep firewalld |
1-2. 查看是否已安装服务firewalld-filesystem
1 | rpm -qa | grep firewalld-filesystem |
1-3. 查看是否已安装服务firewall-config //图像显示
1 | rpm -qa | grep firewall-config |
2-1. 安装服务firewalld
1 | yum install -y firewalld |
2-2. 安装服务firewalld-filesystem
1 | yum install -y firewalld-filesystem |
2-3. 安装服务firewall-config
1 | yum install -y firewall-config |
3-1. 查看服务状态firewalld
1 | systemctl status firewalld.service |
3-2. 启动服务firewalld
1 | systemctl start firewalld.service |
3-3. 关闭服务firewalld
1 | systemctl stop firewalld.service |
3-4. 重启服务firewalld
1 | systemctl restart firewalld.service |
3-5. 设置开机启动项服务firewalld
1 | systemctl enable firewalld.service |
3-6. 取消开机启动项服务firewalld
1 | systemctl disable firewalld.service |
4-1. 列出各种服务开机是否启动
1 | systemctl list-unit-files |
4-2. 列出firewalld服务是否开机启动
1 | systemctl list-unit-files | grep firewalld.service |
4-3. 列出firewalld服务是否开机启动
1 | systemctl is-enabled firewalld.service |
5-1. 查看规则
1 | firewall-cmd --help |
5-2. 查看运行状态
1 | firewall-cmd --state |
6-1. 查看已被激活的 Zone 信息 [public | interfaces: eth0]
1 | firewall-cmd --get-active-zones |
6-2. 查看指定接口的 Zone 信息 [public]
1 | firewall-cmd --get-zone-of-interface=eth0 |
6-3. 查看指定级别的接口 [interfaces: eth0]
1 | firewall-cmd --zone=public --list-interfaces |
7-1. 查看指定级别[zone=public]的所有信息
1 | firewall-cmd --zone=public --list-all |
8-1. 查看所有级别被允许的信息
1 | firewall-cmd --get-services |
8-2. 查看重启后所有 Zones 级别中被允许的服务,即永久放行的服务
1 | firewall-cmd --permanent --get-services |
9-1. 管理规则 – 丢弃
1 | firewall-cmd --panic-on |
9-2. 管理规则 – 取消丢弃
1 | firewall-cmd --panic-off |
9-3. 管理规则 – 查看丢弃状态
1 | firewall-cmd --query-panic |
10-1. 管理规则 – 更新规则,不重启服务
1 | firewall-cmd --reload |
10-2. 管理规则 – 更新规则,重启服务
1 | firewall-cmd --complete-reload |
11-1. 管理规则 – 添加某接口至某信任等级,譬如添加 eth0 至 public,再永久生效
1 | firewall-cmd --zone=public --permanent --add-interface=eth0 |
12-1. 管理规则 – 设置 public 为默认的信任级别
1 | firewall-cmd --set-default-zone=public |
13-1. 管理端口 – 列出 public 级别的被允许的进入端口
1 | firewall-cmd --zone=public --list-ports |
14-1. 管理端口 – 允许 tcp 端口 8080 至 public 级别
1 | firewall-cmd --zone=public --add-port=8080/tcp |
14-2. 管理端口 – 允许某范围[5900-5990]的 udp 端口至 public 级别,并永久生效
1 | firewall-cmd --zone=public --permanent --add-port=5900-5990/udp |
15-1. 管理服务 – 添加 smtp 服务至 work zone,并永久生效
1 | firewall-cmd --permanent --zone=work --add-service=smtp |
15-2. 管理服务 – 移除 work zone 中的 smtp 服务 ,并永久生效
1 | firewall-cmd --permanent --zone=work --remove-service=smtp |
16-1. 配置 ip 地址伪装 – 查看,并永久生效
1 | firewall-cmd --zone=external --permanent --query-masquerade |
16-2. 配置 ip 地址伪装 – 打开伪装,并永久生效
1 | firewall-cmd --zone=external --permanent --add-masquerade |
16-3. 配置 ip 地址伪装 – 关闭伪装,并永久生效
1 | firewall-cmd --zone=external --permanent --remove-masquerade |
17-1. 端口转发- 转发 tcp 22 端口至 3753,并永久生效
1 2 | firewall-cmd --zone=external --permanent --add-masquerade firewall-cmd --zone=external --permanent --add-forward-port=port=22:proto=tcp:toport=3753 |
17-2. 端口转发- 转发 22 端口数据至另一个 ip 的相同端口上[192.168.1.100],并永久生效
1 2 | firewall-cmd --zone=external --permanent --add-masquerade firewall-cmd --zone=external --permanent --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100 |
17-3. 转发 22 端口数据至另一 ip 的 2055 端口上[192.168.1.100],并永久生效
1 2 | firewall-cmd --zone=external --permanent --add-masquerade firewall-cmd --zone=external --permanent --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100 |
17-1.
17-2.
17-3.
以上都是一些常用方法,更多高级方法,请参考
1 2 | https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html https://fedoraproject.org/wiki/FirewallD |
