簡單的配置,參考學習:
--permanent當設定永久狀態時 在命令開頭或者結尾處加入此參數,否則重載或重啟防火牆後設置失效!
開放端口:
# firewall-cmd --zone=public --add-port=80/tcp --permanent
# firewall-cmd --zone=public --add-port=22/tcp --permanent
可以一次指定多個:
# firewall-cmd --zone=public --permanent --add-port=111/tcp --add-port=139/tcp --add-port=445/tcp
firewall-cmd --reload
查看所有打開的端口:
# firewall-cmd --list-port
# firewall-cmd --zone=public --list-ports
開啟偽裝:
# firewall-cmd [--zone=zone] --add-masquerade
# firewall-cmd --remove-masquerade
# firewall-cmd --query-masquerade
添加區域接口:
# firewall-cmd [--zone=zone] --add-interface=<interface>
# firewall-cmd --zone=public --add-interface=eth0
列出全部啟用的區域的特性
firewall-cmd --list-all-zones
輸出區域 <zone> 全部啟用的特性。如果省略區域,將顯示默認區域的信息
# firewall-cmd --zone=public --list-all
啟用某個服務:
firewall-cmd --add-service=http
firewall-cmd --add-service=vnc-server
# firewall-cmd --zone=public --add-service=nfs --add-service=samba --add-service=samba-client --permanent
firewall-cmd --remove-service=service 移除服務
查詢:firewall-cmd --list-service
NAT地址轉換:
firewall-cmd [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
IP端口轉發:
# firewall-cmd --add-forward-port=222:proto=tcp:toport=333:toaddr=192.168.1.100
本地轉發:
# firewall-cmd --add-forward-port=port=9898:proto=tcp:toport=8088:toaddr=
success
查詢:
# firewall-cmd --list-forward-port
# firewall-cmd --list-port
# firewall-cmd --list-all
移除:
# firewall-cmd --remove-forward-port=port=222:proto=tcp:toport=333:toaddr=
# firewall-cmd --remove-forward-port=222:proto=tcp:toport=333:toaddr=192.168.1.100
圖形化配置工具:# firewall-config
自定義規則:
/sbin/iptables -t filter -I INPUT_direct 2 -s 192.168.1.1 -p tcp --dport=22 -j DROP
usage: --direct --add-rule { ipv4 | ipv6 | eb } <table> <chain> <priority> <args>
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 192.168.1.0/24 -p tcp --dport=22 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 2 -p tcp --dport=22 -j DROP
# firewall-cmd --reload
# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -s 192.168.1.0/24 -p tcp --dport=22 -j ACCEPT
ipv4 filter INPUT 2 -p tcp --dport=22 -j DROP
官方參考鏈接
http://xxxxxx/Linuxjc/1134223.html TechArticle