1、列出所有支持的 zone 和查看当前的默认 zone:
[root@lxjtest ~]# systemctl start firewalld
[root@lxjtest ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@lxjtest ~]# firewall-cmd --get-default-zone
public

区域(zone)说明如下:
iptables service 在 /etc/sysconfig/iptables 中储存配置
firewalld 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里

2、在/etc/firewalld/的区域设定是一系列可以被快速执行到网络接口的预设定。列表并简要说明如下:
drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
block(限制)
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
public(公共)
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
home(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
trusted(信任)
可接受所有的网络连接。
指定其中一个区域为默认区域是可行的。当接口连接加入了 NetworkManager,它们就被分配为默认区域。安装时,firewalld 里的默认区域被设定为公共区域。

3、每加载一项 service 配置就意味着开放了对应的端口访问,使用下面的命令分别列出所有支持的 service 和查看当前 zone 种加载的 service:
[root@lxjtest services]# firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 .....
[root@lxjtest services]# firewall-cmd --list-services
dhcpv6-client ssh

4、动态添加一条防火墙规则
[root@lxjtest services]# firewall-cmd --add-port=12345/tcp --permanent
success
如果需要使规则保存到 zone 配置文件,则需要加参数 –permanent
[root@lxjtest services]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="12345"/>
<forward-port to-addr="192.168.1.9" to-port="22" protocol="tcp" port="123"/>
<rule family="ipv4">
<source address="192.168.10.0/24"/>
<service name="ssh"/>
<reject/>
</rule>
</zone>
[root@lxjtest services]#

5、防火墙启停及状态查询
[root@lxjtest services]# systemctl start firewalld.service
[root@lxjtest services]# systemctl stop firewalld.service
[root@lxjtest services]# systemctl enable firewalld.service --添加到系统服务
[root@lxjtest services]# systemctl disable firewalld.service --从系统服务移除
[root@lxjtest services]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: active (running) since Thu 2017-08-10 12:40:05 EDT; 1min 1s ago
Main PID: 7007 (firewalld)
CGroup: /system.slice/firewalld.service
└─7007 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Aug 10 12:40:04 lxjtest.rusky.com systemd[1]: Starting firewalld - dynamic firewall daemon...
Aug 10 12:40:05 lxjtest.rusky.com systemd[1]: Started firewalld - dynamic firewall daemon.

6、重新加载配置文件
重新加载防火墙,并不中断用户连接,即不丢失状态信息:
[root@lxjtest services]# firewall-cmd --reload
重新加载防火墙并中断用户连接,即丢弃状态信息:
[root@lxjtest services]# firewall-cmd --complete-reload
注意:通常在防火墙出现严重问题时,这个命令才会被使用。比如,防火墙规则是正确的,但却出现状态信息问题和无法建立连接。

7、获取所有支持的ICMP类型
[root@lxjtest services]# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement.....

8、其它常用命令
查看Firewalld服务当前所使用的zone区域:
# firewall-cmd --get-default-zone

查询eno16777728网卡在Firewalld服务中的zone区域:
# firewall-cmd --get-zone-of-interface=eno16777728

把Firewalld防火墙服务中eno16777728网卡的默认区域修改为external,重启后再生效:
# firewall-cmd --permanent --zone=external --change-interface=eno16777728
# firewall-cmd --get-zone-of-interface=eno16777728
# firewall-cmd --permanent --get-zone-of-interface=eno16777728

把Firewalld防火墙服务的当前默认zone区域设置为:
# firewall-cmd --set-default-zone=
# firewall-cmd --get-default-zone

启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用。):
# firewall-cmd --panic-on
# firewall-cmd --panic-off

查询在区域中的ssh与https服务请求流量是否被允许:
# firewall-cmd --zone= --query-service=ssh
# firewall-cmd --zone= --query-service=https

把Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:
# firewall-cmd --zone= --add-service=https
# firewall-cmd --permanent --zone= --add-service=https
# firewall-cmd --reload

把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:
# firewall-cmd --permanent --zone= --remove-service=http
# firewall-cmd --reload

把Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:
# firewall-cmd --zone= --add-port=8080-8081/tcp
# firewall-cmd --zone= --list-ports

把原本访问本机888端口号的请求流量转发到22端口号,要求当前和长期均有效:
流量转发命令格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
# firewall-cmd --permanent --zone= --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
# firewall-cmd --reload

# firewall-cmd --permanent --zone= --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
# firewall-cmd --reload

Linux 防火墙firewalld的更多相关文章

  1. Linux防火墙firewalld安全设置

    背景描述 防火墙是具有很好的保护作用.入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机.在公司里数据安全是最重要的,要求安全部门进行全公司进行服务器防火墙安全搭建,在原有的基础上进行安全的防火墙 ...

  2. linux 防火墙--firewalld学习

    firewalld是centos7默认的防火墙,相比于iptables重要的优势: 1 支持动态更新: 2 不用重启服务: 同时增加了防火墙的“zone”概念,具体差异没做过多了解,这篇文章只记录fi ...

  3. 【Redhat系列linux防火墙工具】firewalld与iptables防火墙工具的激烈碰撞

    前言 iptables与firewalld防火墙管理工具在linux发行版Redhat7系列使用较为广泛. UFW则是在linux发行版Ubuntu下进行管理防火墙的一款管理工具. 在选用防火墙工具的 ...

  4. Linux防火墙(iptables/firewalld)

    Linux防火墙(iptables/firewalld) 目录 Linux防火墙(iptables/firewalld) 一.iptables 1. iptables概述 2. netfilter和i ...

  5. iptables 简单介绍及应用 Linux防火墙

    iptables 即 Linux防火墙 的简单介绍及使用 iptables生效位置如下图: 其中, 网络防火墙也可以使用一台启用了iptables的Linux主机代替; 路由器或集线器等设施在拓扑中省 ...

  6. linux 防火墙基本使用

    写在最前面 由于工作后,使用的Linux就是centos7 所以,本文记录是是centos7的防火墙使用. 从 centos7 开始,系统使用 firewall 进行防火墙的默认管理工具. 基本使用 ...

  7. Linux防火墙firewall和iptables的使用

    防火墙是整个数据包进入主机前的第一道关卡. Linux中有两种防火墙软件,ConterOS 7.0以上使用的是 firewall,ConterOS 7.0以下使用的是 iptables,本文将分别介绍 ...

  8. linux防火墙学习

    iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分.可以直接配置,也可以通过许多前端和图形界面配置.语法: iptables(选项)(参数)1,命令选项-t<表 ...

  9. iptables实用知识 ,一文学会配置linux防火墙

    目录 1.防火墙的概念 2. linux防火墙 3.linux数据包处理流程 3.1 linux 防火墙将以上流程,固定区分为5个流程节点 3.2 数据流程 4 linux防火墙的实现机制 4.1 i ...

随机推荐

  1. 《UNIX环境高级编程》笔记--环境变量

    ISO C定义了一个函数getenv,可以用其取环境变量值. #include <stdlib.h> char* getenv(const char* name); //返回与name关联 ...

  2. leetcode关于数组的问题

    关于数组的几道面试题 [Leetcode] 628. 三个数的最大乘积 解题思路: 这个一开始我是没想到思路的(除了遍历),因为有正负号的问题,后来看了一下别人的思路然后自己写的,思路是这样的: 三个 ...

  3. 【Spark】SparkStreaming-foreachrdd foreachpartition

    SparkStreaming-foreachrdd foreachpartition foreachrdd foreachpartition_百度搜索 SparkStreaming之foreachRD ...

  4. win8下Source Insight has not been installed completely问题的解决

    系统:windows8 软件:Source Insight 3.5 安装后打开总是提示如下图错误,没法使用. 卸载重新安装好多次,还是不行,百度一下,终于找到方法,记录一下,方便以后查找. 解决方法: ...

  5. Vs2013 坑爹的Target framework问题

    之前的一个项目是使用Vs2008来开发的,因为这段时间家里有事情所以只能跟经理协商在家里来做此项目,因为家里的VS是2013的所以在迁移时没有什么问题 但今天我更改一个类库的文件后重新生成解决方案结果 ...

  6. w3cscholl的在线代码编辑工具

    https://www.w3cschool.cn/tryrun/runcode?lang=c

  7. Eclipse中GitLab的配置和使用入门

    一.Eclipse中配置GitLab的前提条件 1.1:安装Git客户端 去官网https://git-scm.com/downloads下载合适的版本即可,一般开发环境是windows的就下载win ...

  8. How to center body on a page?

      [提问] I'm trying to center the body element on my HTML page. Basically, in the CSS I set the body e ...

  9. 【python】安装bcoding

    C:\Users\horn1>pip install bcodingCollecting bcoding Downloading https://files.pythonhosted.org/p ...

  10. android中实现拨号功能

    1.要实现拨号功能,首先需要开启拨号权限 修改AndroidManifest.xml文件,添加如下内容: <uses-permission android:name="android. ...