//防火牆
檢視firewalld狀態,發現是dead狀態,即防火牆未開啟
systemctl status firewalld
開啟防火牆,沒有任何提示就是開啟成功;執行上一條命令,顯示running。
systemctl start firewalld
關閉防火牆設定
systemctl stop firewalld。
重啟放火牆
systemctl enable firewalld
火牆的各類配置檔案儲存在/usr/lib/firewalld和/etc/firewalld/中的各種xml檔案裡
firewalld的操作:
yum install firewalld firewall-config ##安裝firewalld與圖形介面
firewall-config ##開啟圖形介面
systemctl status firewalld ##檢視火牆狀態
systemctl start firewalld ##開啟火牆服務
systemctl stop firewalld ##關閉火牆服務
systemctl enable firewalld ##開機自動開啟
systemctl disable firewalld ##開機不自啟
systemctl mask firewalld ##凍結火牆服務
systemctl unmask firewalld ##解凍火牆服務
firewall-cmd --state ##檢視火牆的狀態
firewall-cmd --get-
default
-zone ##檢視火牆預設的域
firewall-cmd --get-active-zone ##檢視火牆活動的域
firewall-cmd --get-zones ##檢視火牆所有可用的域
firewall-cmd --zone=
public
--list-all ##列出制定域的所有設定
firewall-cmd --get-services ##列出所有預設服務
firewall-cmd --list-all ##列出預設區域的設定
firewall-cmd --list-all-zones ##列出所有區域的設定
firewall-cmd --set-
default
-zone=dmz ##設定預設區域為dmz
firewall-cmd --add-source=
172.25
.254
.44--zone=trusted ##新增172.25.254.44到trusted域中去
firewall-cmd --remove-source=
172.25
.254
.44--zone=trusted ##刪除172.25.254.44到trusted域中去
firewall-cmd --remove-
inte***ce
=eth1 --zone=
public
##刪除public域中的eth1介面
firewall-cmd --add-
inte***ce
=eth1 --zone=trusted ##新增trusted域中乙個介面eth1
firewall-cmd --add-service=http ##新增http服務到火牆中
firewall-cmd --add-port=
8080
/tcp ##新增埠為8080,協議為tcp的到火牆中
firewall-cmd --permanent --add-service=http ##永久新增http到火牆中**
-permanent引數表示永久生效設定,如果沒有指定-zone引數,則加入預設區域
firewall-cmd --zone=
public
--list-ports ##列出public域中埠
firewall-cmd --permanent --zone=
public
--add-port=
8080
/tcp ##新增埠
firewall-cmd --zone=
public
--add-port=
80/tcp --permanent (--permanent永久生效,沒有此引數重啟後失效)
firewall-cmd --permanent --zone=
public
--remove-port=
8080
/tcp ##刪除埠
vim /etc/firewalld/zones/
public
.xml ##編寫public域的配置檔案,可以加服務(本次實驗新增lftp)
通過firewall-cmd 工具,可以使用 --direct選項再執行時間裡增加或移除鏈。如果不熟悉iptables,使用直接介面非常危險,因為您可能無意間導致火牆被入侵。直接埠模式適用於服務或程式,以便在執行時間內增加特定的火牆規則。直接埠模式新增的規則優先於應用。
firewall-cmd --direct --get-all-rules ##列出規則
firewall-cmd --direct --add-rule ipv4 filter input
2-s 172.25
.254
.44-p tcp --dport 22
-j accept
##在filter表中的input鏈中第二條加入允許接受tcp協議的172.25.254.44的資料報通過埠22(sshd)訪問該主機
firewall-cmd --direct --remove-rule ipv4 filter input
2-s 172.25
.254
.44-p tcp --dport 22
-j accept
##移除
firewall-cmd --direct --add-rule ipv4 filter input
2 ! -s 172.25
.254
.44-p tcp --dport 22
-j accept
##新增除了44主機以外的任何主機都可以訪問
cat /etc/services | grep ssh ##檢視與ssh有關的服務資訊
##埠**(位址偽裝)
firewall-cmd --add-forward-port=port=
22:proto=tcp:toport=
22:toaddr=
172.25
.254
.44##別的主機通過22埠訪問該主機的時候偽裝到172.25.254.44主機上(要開啟偽裝才可成功)
firewall-cmd --permanent --add-masquerade ##開啟偽裝
firewall-cmd --remove-forward-port=port=
22:proto=tcp:toport=
22:toaddr=
172.25
.254
.44##移除
firewall-cmd --permanent --remove-masquerade ##關閉偽裝
##實現路由功能(連線不同的ip進行位址偽裝)
在伺服器上配兩個網絡卡eth0:
172.25
.254
.144 eth1:
192.168
.0.144
客戶端:192.168
.0.244
firewall-cmd --add-rich-rule=
"rule family=ipv4 source address=172.25.254.144 masquerade"
firewall-cmd --add-masquerade ##開啟偽裝
firewall-cmd --get-icmptypes
firewall-cmd --add-icmp-block=destination-unreacheable ##ping的時候顯示目的地不可達
firewall-cmd --remove-icmp-block=destination-unreacheable ##移除
firewall-cmd --add-icmp-block=echo_sed
firewall-cmd --add-icmp-block=
echo
-request
firewall-cmd --remove-icmp-block=
echo
-request
firewall-cmd --add-icmp-block=
echo
-request --timeout=
5##
linux防火牆操作
1 firewalld的基本使用 啟動 systemctl start firewalld 檢視狀態 systemctl status firewalld 停止 systemctl disable firewalld 禁用 systemctl stop firewalld 2.systemctl是c...
linux 防火牆操作
1 基本操作 service iptables statusservice iptables stopservice iptables startservice iptables restartchkconfig iptables offchkconfig iptables on2 檢視防火牆狀態,...
linux 防火牆操作
1 基本操作 service iptables statusservice iptables stopservice iptables startservice iptables restartchkconfig iptables offchkconfig iptables on2 檢視防火牆狀態,...