观天firewalld属于Linux系统防火墙规则管理工具,真正发挥作用的是系统内核Netfilter。firewalld规则管理工具和IPtables规则管理工具对比,firewalld引入了zone区域概念,可以把网卡接口划分到某个区域。默认Public Zone公共区域。即是所有接口属于Public Zone公共区域。在下面介绍一下firewalld常用命令。
另外添加、删除、防火墙规则还可以直接编辑 /etc/firewalld/zones/public.xml 的public.xml文件。firewall-cmd –reload
#开启防火墙: systemctl start firewalld #查看状态: systemctl status firewalld #开机启动: systemctl enable firewalld #禁用,开机时无法自动启动: systemctl disable firewalld #停用 systemctl stop firewalld
安装防火墙: yum -y install firewall firewall-config 激活安全区域: firewall-cmd --get-active-zone
--------------------------------------------------------------------------------------------------------------------------------------- 查看防火墙规则: firewall-cmd --zone=public --list-rich-rules 查看端口开放情况: firewall-cmd --zone=public --list-ports ------------------------------------------------------------------------------------------------------------------------------------- 开放单个端口,例如80、22端口: firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --reload 开放ICMP流量,允许ping firewall-cmd --zone=public --add-protocol=icmp 允许哪些地址连接SSH 22端口:依次类推亦可以改变22端口未其它TCP端口 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="填写源IP地址或网段" port protocol="tcp" port="22" accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="填写源IP地址或网段" port protocol="tcp" port="22" accept" firewall-cmd --reload 阻止某个IP访问: firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.1.3 drop" firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.1.3 reject"
