注册/登录

发表新话题

东信网

系统相关

Linux

正文

centos 7 firewalld

发布者:admin  Time:  阅读数:1centos-7-firewalld
centos7中firewall的配置文件
配置文件所在目录为/etc/firewalld/zones/public.xml

cd /etc/firewalld/zones
vi public.xml


里面的port就是开发的端口。

1、查看防火墙的状态
 firewall -cmd  --state
防火墙开启状态

2、查看firewall的开放端口
  firewall -cmd  --list-port

3、添加开放端口
 firewall-cmd  --add-port=8080/tcp  --permanent (永久开放端口)

4、令配置生效
 firewall-cmd --reload 


基本使用

启动:systemctl start firewalld

关闭:systemctl stop firewalld

查看状态:systemctl status firewalld

开机禁用:systemctl disable firewalld

开机启用:systemctl enable firewalld

配置firewalld-cmd

查看版本:firewall-cmd --version

查看帮助:firewall-cmd --help

显示状态:firewall-cmd --state

查看所有打开的端口:firewall-cmd --zone=public --list-ports

更新防火墙规则:firewall-cmd --reload

端口开放

添加:firewall-cmd --zone=public --add-port=80/tcp --permanent

删除: firewall--cmd --zone=public --remove-port80/tcp --permanent

重新载入:firewall-cmd --reload

删除:firewall-cmd --zone= public --remove-port=80/tcp --permanent

端口转发

添加(例如3306 -> 3336):

firewall-cmd --permanent --zone=public --add-forward-port=port=3336:proto=tcp:toport=3306:toaddr=192.168.1.2

firewall-cmd --zone=public --add-forward-port=port=1023:proto=tcp:toport=22:toaddr=172.0.1.238 --permanent

删除:

firewall-cmd --permanent --remove-forward-port=port=3306:proto=tcp:toport=3336:toaddr=

查看转发的端口:firewall-cmd --list-forward-ports

开启共享上网

firewall-cmd --add-masquerade  --permanent

开启IPv4转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf


查看当前开了哪些端口

其实一个服务对应一个端口,每个服务对应/usr/lib/firewalld/services下面一个xml文件。

firewall-cmd --list-services


Firewalld Rich Rules

富规则通过更大的自定义选项提供了更大的控制级别,富规则也可以用来配置日志记录、伪装、端口转发和速率限制

一旦多个规则到位,它们将按照一定的顺序进行处理,端口转发和伪装规则将首先应用,接着是任何日志规则,然后是任何允许的规则,最后是任何拒绝规则;一个包将使用它所适用的第一条规则,如果它不符合一条规则,它将默认的拒绝

--add-rich-rule=’RULE’ 用来添加指定的规则,在这里,我们允许通过从10.0.0.0/24范围内进入192.168.0.10/32的TCP端口8080到8090

[root@centos7 ~]# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 destination address=192.168.0.10/32 port port=8080-8090 protocol=tcp accept'
success

--list-rich-rules 列出指定区域的所有富规则

[root@centos7 ~]# firewall-cmd --permanent --zone=public --list-rich-rules
rule family="ipv4" source address="10.0.0.0/24" destination address="192.168.0.10/32" port port="8080-8090" protocol="tcp" accept

--remove-rich-rule 移除现有的规则

[root@centos7 ~]# firewall-cmd --permanent --zone=public --remove-rich-rule='rule family=ipv4 source address=10.0.0.0/24 destination address=192.168.0.10/32 port port=8080-8090 protocol=tcp accept'
success

在这里,我们创建了一个富规则来拒绝来自192.168.0.10/24的任何访问

[root@centos7 ~]# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.10/24 reject'
success

富规则也可以用来限制速率,在这里,我们将传入SSH连接限制为10次每分钟

[root@centos7 ~]# firewall-cmd --permanent --add-rich-rule='rule service name=ssh limit value=10/m accept'
success

富规则也可以用来将消息发送到日志文件,并且日志记录也可以受速率限制,这里,我们记录从192.168.0.0/24的SSH连接,以每分钟不超过50个日志条目的速率记录。只记录级别“info”或更重要的日志。

[root@centos7 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" limit value="50/m" accept'
success

放通某个端口
firewall-cmd --permanent --zone=public --add-port=5672/tcp 
移除以上规则
firewall-cmd --permanent --zone=public --remove-port=5672/tcp

放通某个端口段
firewall-cmd --permanent --zone=public --add-port=10000-20000/tcp

查看所有放通的端口
firewall-cmd --zone=public --list-ports

查看防火墙的配置
firewall-cmd --list-all

放通某个IP访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.169 accept'
移除以上规则
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=192.168.1.169 accept'

放通某个IP段访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 accept'

禁止某个IP访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.169 drop'

放通某个IP访问某个端口
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.169 port protocol=tcp port=6379 accept'

列出所有zone规则

firewall-cmd --list-all-zones

本文地址: http://dcisp.com/index.php/p-centos-7-firewalld.html
上一篇:centos安装iftop
下一篇:fikker破解版

最新回答

暂无回答

评论专区:

评论已关闭!

系统相关

网络技术

    推荐内容

    更多..按标签查询

    置顶信息

    最新发布

    谷歌广告:

    更多 >

    图文推荐