firewalld命令参数详解
来源:互联网 发布:初中数学解题软件 编辑:程序博客网 时间:2024/06/02 20:38
firewall-cmd命令是Firewalld动态防火墙管理器服务的命令行终端。它的参数一般都是以“长格式”来执行的,但同学们也不用太过于担心,因为红帽RHEL7系统非常酷的支持了部分命令的参数补齐,也正好包括了这条命令,也就是说现在除了能够用Tab键来补齐命令或文件名等等内容,还可以用Tab键来补齐下列长格式参数啦(这点特别的棒)。
参数作用--get-default-zone查询默认的区域名称。--set-default-zone=<区域名称>设置默认的区域,永久生效。--get-zones显示可用的区域。--get-services显示预先定义的服务。--get-active-zones显示当前正在使用的区域与网卡名称。--add-source=将来源于此IP或子网的流量导向指定的区域。--remove-source=不再将此IP或子网的流量导向某个指定区域。--add-interface=<网卡名称>将来自于该网卡的所有流量都导向某个指定区域。--change-interface=<网卡名称>将某个网卡与区域做关联。--list-all显示当前区域的网卡配置参数,资源,端口以及服务等信息。--list-all-zones显示所有区域的网卡配置参数,资源,端口以及服务等信息。--add-service=<服务名>设置默认区域允许该服务的流量。--add-port=<端口号/协议>允许默认区域允许该端口的流量。--remove-service=<服务名>设置默认区域不再允许该服务的流量。--remove-port=<端口号/协议>允许默认区域不再允许该端口的流量。--reload让“永久生效”的配置规则立即生效,覆盖当前的。查看Firewalld服务当前所使用的zone区域:
[root@linuxprobe ~]# firewall-cmd --get-default-zonepublic
查询eno16777728网卡在Firewalld服务中的zone区域:
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728public
把Firewalld防火墙服务中eno16777728网卡的默认区域修改为external,重启后再生效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728success[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728public[root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728external
把Firewalld防火墙服务的当前默认zone区域设置为public:
[root@linuxprobe ~]# firewall-cmd --set-default-zone=publicsuccess[root@linuxprobe ~]# firewall-cmd --get-default-zone public
启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用。):
[root@linuxprobe ~]# firewall-cmd --panic-onsuccess[root@linuxprobe ~]# firewall-cmd --panic-offsuccess
查询在public区域中的ssh与https服务请求流量是否被允许:
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=sshyes[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=httpsno
把Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=httpssuccess[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=httpssuccess[root@linuxprobe ~]# firewall-cmd --reloadsuccess
把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http success[root@linuxprobe ~]# firewall-cmd --reload success
把Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcpsuccess[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 8080-8081/tcp
把原本访问本机888端口号的请求流量转发到22端口号,要求当前和长期均有效:
流量转发命令格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10success[root@linuxprobe ~]# firewall-cmd --reloadsuccess
在客户机使用ssh命令尝试访问192.168.10.10主机的888端口:
[root@client A ~]# ssh -p 888 192.168.10.10The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.root@192.168.10.10's password:此处输入远程root用户的密码Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10
在Firewalld防火墙服务中配置一条富规则,拒绝所有来自于192.168.10.0/24网段的用户访问本机ssh服务(22端口):
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"success[root@linuxprobe ~]# firewall-cmd --reloadsuccess
在客户机使用ssh命令尝试访问192.168.10.10主机的ssh服务(22端口):
[root@client A ~]# ssh 192.168.10.10Connecting to 192.168.10.10:22...Could not connect to '192.168.10.10' (port 22): Connection failed.
可以编辑/etc/firewall/zones下的public.xml文件编辑firewall规则
例如:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="http"/>
<service name="ssh"/>
<service name="https"/>
<rule family="ipv4">
<source address="123.123.123.123"/>
<reject/>
</rule>
<rule family="ipv4">
<source address="124.124.124.124"/>
<service name="zabbix"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="111.111.111.111"/>
<port protocol="tcp" port="1234"/>
<accept/>
</rule>
</zone>
第一条开头某个ip可以访问
第二条增加了name标识
第三条针对某个ip开放访问端口
修改完后重新加载防火墙规则
firewall-cmd --reload
redis端口设置。允许192.168.142.166访问6379端口
删除规则
firewall-cmd--permanent--remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"systemctl restart firewalld.service
- firewalld命令参数详解
- Firewalld详解
- FirewallD详解(转载)
- TAR命令参数详解
- SET命令参数详解
- make命令参数详解
- Rsync命令参数详解
- TAR命令参数详解
- tar命令参数详解
- Rsync命令参数详解
- TAR命令参数详解
- JAVA命令参数详解
- Rsync命令参数详解
- Snort 命令参数详解
- make命令参数详解
- vmstat命令参数详解
- vmstat 命令参数详解
- TAR命令参数详解
- 通过数据告诉你centos和debian哪个好?
- 第4周项目1 建立单链表
- Python 中操作 MySQL 步骤
- spark dataset col,$,column,apply
- read、write系统调用与IO库函数
- firewalld命令参数详解
- 将打好的jar文件上传到jar包的管理服务器
- PostgreSQL学习(一)—常用修改表操作
- Android零基础入门第69节:ViewPager快速实现引导页
- 目标检测算法SSD在Ubuntu+CPU下运行
- ThinkPHP5中的事务操作
- 配置问题 vsphere HA 启动了虚拟机故障切换操作
- cloudera mamager中配置hive加载第三方JAR
- List遇到的问题