Linux 使用 firewalld 控制说明

之前一直在Linux下使用iptables，虽然命令每次都得现找，但基本的套路格式都熟悉的差不多了。但学院机房虚拟机统一配置的CentOS 7，系统默认使用 firewall 的对 iptables 做了很多封装且不再推荐使用iptables，也就学习一下一些常见的命令。

1、基本服务的控制：

• 启动： systemctl start firewalld
• 查看状态： systemctl status firewalld
• 停止： systemctl disable firewalld
• 禁用： systemctl stop firewalld

2、端口的增删查（以80端口为例）

• 添加：firewall-cmd --zone=public --add-port=80/tcp --permanent
  （注：--permanent永久生效，没有此参数重启后失效）
• 查看端口情况：firewall-cmd --zone=public --query-port=80/tcp
• 删除：firewall-cmd --zone=public --remove-port=80/tcp --permanent

3、针对IP和端口的封杀（以192.168.1.250和22端口为例）

• 封禁IP或IP地址段（CIDR表示，恢复将add改成remove即可）：firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.250' reject"
• 端口封禁：firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.1.250 port port=22 protocol=tcp reject"
• 查看规则列表：firewall-cmd --list-rich-rules

4、端口转发

5、几条常用的命令

• 查看所有打开的端口： firewall-cmd --zone=public --list-ports
• 更新防火墙规则： firewall-cmd --reload

注：改变规则后要更新才能生效。