基本操作
注:firewalld 属于centos7的服务,相对iptables firewalld做的相对更加人性化,在设置firewalld 的时候可以使用tab键进行补全 包括后面的参数设置。
启动及关闭firewalld
systemctl start firewalld
systemctl stop firewalld添加开机自启动及关闭
systemctl enable firewalld
systemctl disable firewalld查看及设置默认规则
查看firewall区域:
firewalld-cmd --list-all设置默认区域为trusted
firewalld 常规区域有:
public: 默认防规则 仅允许访问的ssh及少数服务。
trusted:允许所有访问
block: 阻塞任何来访请求
drop: 丢弃任何来访数据包
block与drop的区别在于block是明确拒绝请求,而drop是直接丢弃。
firewall-cmd --set-default-zone=trusted常用规则设置
默认配置规则有两证方式:
严格方式 将默认区域保持为block,针对需要放行的访问在trusted。
宽松方式 将默认区域保持为trusted,针对需要阻止访问的在block区域添加策略。
拒绝某个IP进行访问:
firewall-cmd --zone=block --add-source=10.0.1.100解除限制某个IP访问:
firewall-cmd --zone=block --remove-source=10.0.1.100列出指定区域的信息
firewall-cmd --list-all --zone=block给默认区域添加服务端口
firewall-cmd --add-service=http永久保存规则并添加到public区域
firewall-cmd --permanent --add-service=http --zone=public重载防火墙
注:当firewalld 执行reload的时候,临时设置的规则会丢失。但对于使用permanent的参数重载才会生效。
firewall-cmd --reload设置端口转发
本机端口映射:
注:对于 --add-forward-port= 无法使用Tab键 需要手动输入,这也是相对firewalld的不足点之一。
firewall-cmd --permanent --zone=trusted --add-forward-port=port=2022:proto=tcp:toport=22
评论区