firewall防火墙

1 防火墙简介

在基于RHEL7的服务器，提供了一个firewall的动态管理的防火墙，其支持IPv4和IPv6，还支持以太网桥，并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

2 简单介绍

firewall的配置文件：/etc/lib/firewalld/和/etc/firewalld/下的XML文件。配置firewall可以直接编辑配置文件，也可以使用firewall-cmd命令行工具。

3 防火墙使用

查看firewalld的状态

firewall-cmd --state

查看活动分区类别

firewall-cmd --get-active-zones

查看当前分配的接口

firewall-cmd --get-zone-of-interface=ens33

查看分配的区域的所有接口：

firewall-cmd --zone=public --list-interfaces

找出公共区域的所有设置

firewall-cmd --zone=public --list-all

firewall-cmd --list-all

关闭|开启所有的输入和输出的数据包(禁用)

# 关闭所有输入输出的数据包

firewall-cmd --panic-on

# 开启再次输入输出的数据包

firewall-cmd --panic-off

# 查看panic模式的状态(yes启用 no退出)

firewall-cmd --query-panic

重新加载防火墙

# 重新加载防火墙，不中断用户连接(不丢失状态信息)

firewall-cmd --reload

# 重新加载防火墙并中断用户连接(丢失状态信息)，防火墙出现严重问题才执行

firewall-cmd --complete-reload

为分区增加接口

# 把em1增加到公共分区，增加--permanent选择并重新加载防火墙，是之永久生效

firewall-cmd --zone=public --add-interface=em1

设置分区(将一个端口加入分区)

# 设置默认分区，立即生效，不需要重新加载防火墙

firewall-cmd --set-default-zone=public

# 将一个端口加入分区

firewall-cmd --zone=public --permanent --add-port=8080/tcp

firewall-cmd --reload

# 查看开发的端口

firewall-cmd --zone=public --list-ports

# 删除

firewll-cmd --zone=pubic --remove --remove-port=8080/tcp

将一个服务(http)加入到分区

# 加入

firewall-cmd --permanent --zone=work --add-service=http

firewall-cmd --reload

# 移除

firewall-cmd --permanent --zone=work --remove-service=http

firewall-cmd --reload

# 注意，这并不会中断已经建立的连接。如果您打算中断，您可以使用 --complete-reload 选项，但这不仅仅中断您已经移除的服务，还会中断所有已经建立的连接。

配置伪装 IP 地址

# 查询是否可用

firewall-cmd --zone=external --query-masquerade

# 允许伪装IP

firewall-cmd --zone=external --add-masquerade

# 禁用伪装IP

firewall-cmd --zone=external --remove-masquerade

配置端口转发，地址转发

# 将22端口转发到3753端口，使用tcp协议

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

# 原本发往22端口的程序包现在被转发到地址是192.0.2.55下相同的端口

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55

# 将22端口的数据包转发到192.0.2.55下的2055端口

firewall-cmd --zone=external /

--add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55

使用直接接口增加一个自定义规则

# 增加一个自定义规则到 “IN_public_allow” 链里：

firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \

0 -m tcp -p tcp --dport 666 -j ACCEPT

# 从 “IN_public_allow” 链移除一个自定义规则：

firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \

0 -m tcp -p tcp --dport 666 -j ACCEPT

# 列出 “IN_public_allow” 链中的规则：

firewall-cmd --direct --get-rules ipv4 filter IN_public_allow

配置rich language语法：

格式：

# 添加

firewall-cmd [--zone=zone] --add-rich-rule='rule' [--timeout 9=seconds]

# 移除

firewall-cmd [--zone=zone] --remove-rich-rule='rule'

# 检查是否存在

firewall-cmd [--zone=zone] --query-rich-rule='rule'

多规则结构：

rule [family=""]

[ source address="