Firewalld防火牆維護和狀態查詢

在安裝centos7系統時,會自動安裝firewalld和圖形化工具firewall-config.執行以下命令可以啟動firewalld並設定為開機自啟動狀態.

[root@hostname ~]
# systemctl start firewalld		===>啟動firewalld
[root@hostname ~]
# systemctl enable firewalld	===>設定firewalld為開機自啟動

如果firewalld正在執行,可以通過systemctl status firewalld 或 firewall-cmd 檢視其執行狀態

[root@hostname ~]
# systemctl status firewalld	===>看看執行狀態
或[root@hostname ~]
# firewall-cmd --state		===>檢視執行狀態

如果想要禁用firewalld,執行以下命令.

[root@hostname ~]
# systemctl stop firewalld		===>停止firewalld
[root@hostname ~]
# systemctl disable firewalld	===>設定firewalld開啟不自啟

firewall-cmd 預定義資訊主要包括三種:可用的區域、可用的服務以及可用的icmp阻塞型別,具體的檢視命令如下所示.

[root@hostname ~]
# firewall-cmd --get-zones	===>顯示預定義的區域
[root@hostname ~]
# firewall-cmd --get-service	===>顯示預定義的服務
[root@hostname ~]
# firewall-cmd --get-icmptypes	===>顯示預定義的icmp型別

firewall-cmd --get-icmptypes 命令的執行結果中各種阻塞型別的含義分別如下所示.

destination-unreachable:目的位址不可達. echo-replay:應答回應(pong). parameter-problem:引數問題. redirect:重新定向. router-advertisement:路由器通告. router-solicitation:路由器徵尋. source-quench:源端抑制. time-exceeded:超時. timestamp-replay:時間戳應答回應.

timestamp-request:時間戳請求.

使用firewall-cmd命令可以實現獲取和管理區域,為指定區域繫結網路介面等功能.

firewall-cmd 區域管理的命令

[root@hostname ~]
# firewall-cmd --get-default-zone	===>顯示網路連線或介面的預設區域
[root@hostname ~]
# firewall-cmd --get-default-zone====>設定網路連線或介面的預設區域
[root@hostname ~]
# firewall-cmd --getactive-zones	===>顯示已啟用的所有區域
[root@hostname ~]
# firewall-cmd --getzone-of-inte***ce====>顯示指定介面繫結的區域
[root@hostname ~]
# firewall-cmd --zone=--add-inte***ce====>為指定介面繫結區域
[root@hostname ~]
# firewall-cmd --zone=--change-inte***ce====>為指定的區域更改繫結的網路介面
[root@hostname ~]
# firewall-cmd --zone=--remove-inte***ce====>為指定的區域刪除繫結的網路介面
[root@hostname ~]
# firewall-cmd --zone=--list-all	===>顯示所有區域及其規則(省略了"--zone="表示顯示所有指定區域的所有規則)

對預設區域操作命令

[root@hostname ~]
# firewall-cmd --get-default-zone	===>顯示當前系統中的預設區域
[root@hostname ~]
# firewall-cmd --list-all	===>顯示預設區域的所有規則
[root@hostname ~]
# firewall-cmd --get-zone-of-inte***ce=ens33		===>顯示網路介面ens33對應區域
[root@hostname ~]
# firewall-cmd --zone=--change-inte***ce=ens33	===>將網路介面ens33對應區域更改為internal 區域
[root@hostname ~]
# firewaall-cmd --get-active-zones		===>顯示所有啟用區域

為了方便管理,firewalld預先定義了很多服務,存放在/usr/lib/firewalld/services/目錄中,服務通過單個的xml配置檔案來指定.這些配置檔案則按以下格式命名:service-name.xml,每個檔案對應以相具體的網路服務,如ssh服務等.與之對應的配置檔案中記錄了各項服務所使用的tcp/udp埠.在最新版本的firewalld中預設已經定義了70多種服務供我們使用,對於每個網路區域,均可以配置允許訪問的服務.當預設提供的服務不適用或者需要自定義某項服務的埠時,我們需要將service配置檔案放置在/etc/firewalld/services/目錄中.service配置具有以下優點.

通過服務名字來管理規則更加人性化.

通過服務來組織埠分組的模式更加高效,如果乙個服務使用了若干個網路埠,則服務的配置檔案就相當於提供了到這些埠的規則服務管理的常用選項說明.

firewall-cmd 命令區域中服務管理的常用選項說明

[root@hostname ~]
# firewall-cmd --zone=--list-services		===>顯示指定區域內允許訪問的所有服務
[root@hostname ~]
# firewall-cmd --zone=--add-service====>為指定區域設定允許訪問的某項服務
[root@hostname ~]
# firewall-cmd --zone=--remove-service====>刪除指定區域已設定的允許訪問的某項服務
[root@hostname ~]
# firewall-cmd --zone=--add-port=[-]/===>為指定區域設定允許訪問的某個/某段埠號(包括協議號)
[root@hostname ~]
# firewall-cmd --zone=--list-icmp-blocks	===>顯示指定區域內拒絕訪問的某項icmp型別
[root@hostname ~]
# firewall-cmd --zone=--add-icmp-block====>為指定區域設定拒絕訪問的某項icmp型別
[root@hostname ~]
# firewall-cmd --zone=--remove-icmp-block====>刪除指定區域已設定的拒絕訪問的某項icmp型別,省略--zone=表示對預設區域操作

具體操作如下

[root@hostname ~]
# firewall-cmd --list-services	===>顯示預設區域內允許訪問的所有服務
[root@hostname ~]
# firewall-cmd --add-service=http	===>設定預設區域允許訪問http服務
[root@hostname ~]
# firewall-cmd --add-service=https	===>設定預設區域允許訪問https服務

在進行服務配置時,預定義的網路服務可以使用服務名配置,服務所涉及的埠就會自動開啟.但是,對於非預定義的服務只能手動為指定的區域新增埠.

[root@hostname ~]
# firewall-cmd --zone=internal --add-port=443/tcp	===>在internal區域開啟443/tcp埠
[root@hostname ~]
# firewall-cmd --zone=internal --remove-port=443/tcp	===>在internal區域禁止443/tcp埠訪問

firewall-cmd命令工具與配置模式相關的選項有三個.

[root@hostname ~]
[root@hostname ~]
[root@hostname ~]
# firewall-cmd --runtime-to-permanent:將當前的執行時配置寫入規則配置檔案中,使之稱為永久性配置

Firewalld防火牆維護和狀態查詢

配置firewalld防火牆

配置firewalld防火牆

firewalld防火牆設定

Firewalld防火牆維護和狀態查詢

配置firewalld防火牆

配置firewalld防火牆

firewalld防火牆設定

相關推薦