如何实现永久配置
--permanent 表示此配置加入到永久生效(默认临时生效)
或者在配置结束后执行此命令 firewall-cmd --runtime-to-permanent将临时更改为永久
永久配置完成后需要立即同步 firewall-cmd --reload 立即同步永久配置
查看默认区域并进行更改
firewall-cmd --get-zones 查询可用的区域
firewall-cmd --get-default-zone 查询默认区域的名称
firewall-cmd --get-active-zone 显示当前正在使用的区域与网卡名称
firewall-cmd --set-default-zone=trusted 设置默认区域为trusted区域
将网卡/子网与区域绑定(允许/拒绝此子网通过)
firewall-cmd --zone=drop --add-source=192.168.20.0/24 将此子网与drop区域绑定(拒绝从此子网发来的流量)
firewall-cmd --zone=trusted --add-interface=ens160 将此网卡与trusted区域绑定(允许从此网卡发来的流量)
--remove-source 删除子网与区域的绑定
--change-source 更改子网与区域的绑定
配置区域允许/拒绝的协议/端口号
firewall-cmd --list-all 显示当前区域的端口号、网卡、服务等信息
--list-all-zones 显示所有区域的
firewall-cmd --get-services 列举出来当前所有被允许的协议
firewall-cmd --zone=public --add-service http 配置public区域允许通过http协议
--remove-service ssh 拒绝通过ssh协议
--add-port=123/tcp 允许通过tcp的123端口
--remove-port=123/tcp 拒绝通过tcp的123端口
cat /etc/services 保存的协议类型和端口号
配置协议端口转换(端口映射)
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.1
将192.168.10.1主机的tcp 22端口号转为888端口号(public区域接收ssh)
--remove-forward-port 删除此端口映射
其它配置
--panic-on 紧急模式,切断一切的网络连接(特殊情况去使用)
--panic-off 恢复一切的网络连接
配置富规则rich(更复杂、更详细的防火墙策略配置)
优先级最高(高于默认规则,两个并不冲突)
能够根据源目地址、端口号来限制用户
firewall-cmd --zone=public --list-rich-rule 显示public区域已经配置的富规则
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.100.1/24" service name="ssh" accept" 允许来自192.168.100.1的主机访问22端口
--add-rich-rule 添加一个富规则
--remove-rich-rule 删除一个富规则
accept/reject 允许/拒绝访问