Linux firewall防火墙详解（二）—

今天继续给大家介绍Linux基础知识，本文主要内容是Linux firewall防火墙配置。
阅读本文，您需要对Linux firewall防火墙有一定的了解，如果您对此还存在困惑，欢迎查阅我博客内文章，相信您一定会有所收获！
文章链接：
Linux firewall防火墙详解（一）——firewall基础知识简介

一、Linux firewall常用命令

首先，我们先来介绍Linux firewall防火墙常用命令：

1、Linux系统对firewall防火墙控制命令

Linux系统对firewall防火墙配置命令如下：
开启firewall防火墙

systemctl start firewalld

关闭firewall防火墙

systemctl stop firewalld

禁用firewall防火墙（开机后不启动）

systemctl disabled firewalld

启用firewall防火墙（开机后启动）

systemctl enable firewalld

显示firewall防火墙状态

systemctl status firewalld

2、firewall状态查看

firewall状态查看命令如下：
查看firewall版本

firewall-cmd --version

显示firewall帮助

firewall-cmd --help

查看firewall状态

firewall-cmd --state

3、firewall规则启用

与iptables防火墙不同，firewall防火墙在配置规则后，不会立刻生效，必须执行以下两条命令之一后才会生效：

firewall-cmd --reload
firewall-cmd --complete-reload

这两条命令的区别是第一条无需断开连接，即动态添加规则，第二条需要断开连接，类似于重启服务。

4、查看和设置默认区域

firewall查看默认区域命令如下：

firewall-cmd --get-default-zone

firewall修改默认区域为block命令如下：

firewall-cmd --set-default-zone block

5、查看区域状态

查看区域状态命令如下：
查看firewall的所有区域：

firewall-cmd --get-zones

查看firewall当前活动区域：

firewall-cmd --get-active-zones

查看指定接口所在的区域：

firewall-cmd --get-zone-of-interface ens32

查看区域所支持的所有特性：

firewall-cmd --zone public --list-all

查看区域中支持的服务：

firewall-cmd --zone public --list-services

6、区域规则添加

如果想要给firewall防火墙添加具体的规则，则相应命令如下：
将网卡添加到指定的zone：

firewall-cmd --zone dmz --add-interface ens32

修改网卡所在区域：

firewall-cmd --zone public --change-interface ens32

注意，上述命令执行完毕后，将使得该网卡进入区域public。
删除区域内的一个网卡：

firewall-cmd --zone public --remove-interface ens32

查看区域内打开的接口：

firewall-cmd --zone public --lost-ports

为区域添加TCP90端口：

firewall-cmd --zone public --add-port 90/tcp

列举出防火墙所有支持的服务：

firewall-cmd --get-services

为区域添加telnet服务：

fireall-cmd --zone public --add-service telnet

注意，添加的服务必须是firewall防火墙自带的或者是已经定义好的服务
移除区域内的服务：

firewall-cmd --zone public --remove-service telnet

注意：其实上述内容介绍了向区域内添加服务的两种方法，即端口+协议或者是直接相应的服务，在实际使用中采取一种方式即可。

7、关闭网络连接

firewall中有一条命令，在配置后可以关闭所有网络连接，该命令如下：

firewall-cmd --panic-on

注意，在firewall中，该命令配置后立即生效，不需要手动执行reload命令。
要取消掉该命令，可以执行以下命令：

firewall-cmd --panic-off

要查询当前关于该配置的状态，可以执行命令：

firewall-cmd --query-panic

二、通过配置文件使用firewall

下面，我简单介绍通过配置文件使用firewall的方式。

（一）自定义或者添加firewall服务

有时，firewall内置的服务不能满足我们的要求，这时我们需要根据firewall内置的服务，进行修改或者添加。在Linux firewall防火墙详解（一）——firewall基础知识简介一文中我们讲到过，firewall内置的服务在/usr/lib/firewalld/services/目录下，但是我们不能够这季节修改该目录下的服务的内容，而是把该目录下的服务复制到/etc/firewalld/services/目录下进行修改。假设我们要修改SSH服务的端口，就可以把/usr/lib/firewalld/ssh.xml复制到/etc/firewalld/services/目录下，之后打开复制后的ssh.xml，修改文件中的端口号即可，如下所示：

这样，如果我们重新加载firewall服务，就可以修改SSH服务的端口号了。

（二）通过配置文件为区域设定默认服务

firewall防火墙除了支持使用命令为区域添加服务以外，还支持使用配置文件为区域添加服务。假设我们要向public区域添加telnet服务，使用区域配置文件来进行配置的话，就需要打开文件/etc/firewalld/zones/public.xml，文件打开后如下所示：

在下面添加一行：

<service name="telnet"/>

修改完成后，配置文件如下所示：

这样，当重启后，firewall的public区域就会出现telnet服务了，结果如下所示：

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200