firewalld是centos7中的防火墙命令,打开或关闭服务器指定监听端口
firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:
(1)支持动态更新,不用重启服务;
(2)就是加入了防火墙的“zone”概念。
语法:
firewall-cmd [ 选项 ]
firewall-cmd命令中使用的参数以及作用
| 参数 | 作用 |
| -h, --help | 显示帮助信息 |
| -V, --version | 显示版本信息. (这个选项不能与其他选项组合) |
| -q, --quiet | 不打印状态消息 |
| --state | 显示firewalld的状态 |
| --reload | 不中断服务的重新加载,更新防火墙规则 |
| --complete-reload | 中断所有连接的重新加载,更新防火墙规则,类似重启服务 |
| --runtime-to-permanent | 将当前防火墙的规则永久生效 |
| --permanent | 永久生效 |
| --check-config | 检查配置正确性 |
| --get-log-denied | 获取记录被拒绝的日志 |
| --set-log-denied=<value> | 设置记录被拒绝的日志,只能为'all','unicast','broadcast','multicast','off' 其中的一个 |
| --get-active-zones | 查看所有区域firewalld信息 |
| --get-zone-of-interface=<网卡名称> | 查看指定接口所属区域 |
| --panic-on | 拒绝所有包 |
| --panic-off | 取消拒绝状态 |
| --query-panic | 查看是否拒绝 |
| -–get-default-zone | 查访默认的区域名称 |
| -–set-default-zone=<区域名称> | 设置默认的接口区域,使其永久生效 |
| -–get-zones | 显示可用的区域 |
| -–get-services | 显示预定义的服务 |
| -–get-active-zones | 显示当前正在使用的区域、来源地址和网卡名称 |
| --zone=<区域名称> | 查询指定区域 |
| -–add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域(将接口添加到指定区域) |
| -–change-interface=<网卡名称> | 将某个网卡与区域进行关联(修改指定区域的对应接口) |
| --list-ports | 接口查询 |
| -–add-port=<端口号/协议> | 设置默认区域允许该端口的流量(添加指定端口) |
| -–remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量(删除指定端口) |
| -–add-service=<服务名> | 设置默认区域允许该服务的流量(打开指定服务) |
| -–remove-service=<服务名> | 设置默认区域不再允许该服务的流量(关闭指定服务) |
| -–list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| -–list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| -–add-source= | 将源自此IP或子网的流量导向指定的区域 |
| -–remove-source= | 不再将源自此IP或子网的流量导向这个区域 |
配置文件
/usr/lib/firewalld/services:存放定义好的网络服务和端口参数,系统参数,不能修改。
/etc/firewalld/:用户可以通过修改配置文件的方式添加端口,也可以通过命令的方式添加端口,修改的内容会在/etc/firewalld/ 目录下的配置文件中还体现。
1、防火墙基本使用
yum -y install firewalld ##安装firewalld
systemctl start firewalld.service ##打开防火墙,或者 systemctl start firewalld.service,可以使用tab键补齐
systemctl status firewalld.service ##查看防火墙状态
systemctl stop firewalld.service ##关闭防火墙
systemctl restart firewalld.service ##重启防火墙
systemctl enable firewalld.service ##开机启用
systemctl disable firewalld.service ##开机禁用
systemctl is-enabled firewalld.service ##查看服务是否开机启动
systemctl list-unit-files|grep enabled ##查看已启动的服务列表
systemctl --failed ##查看启动失败的服务列表
2、打开端口和服务
firewall-cmd --zone=public --add-port=80/tcp --permanent ##永久打开tcp 80端口,加--permanent表示永久
firewall-cmd --zone=public --add-port=8080-8081/tcp ##打开8080-8081端口,不加--permanent表示临时
firewall-cmd --zone=public --add-service=https --permanent ##永久打开https服务
firewall-cmd --reload ##更新防火墙规则,修改防火墙规则后,需要重新载入
firewall-cmd --zone=public --query-port=80/tcp ##查看tcp 80端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent ##删除打开的端口
firewall-cmd --zone=public --list-ports ##查看所有打开的端口
firewall-cmd --zone=public --list-services ##查看所有打开的服务,也可加--permanent
firewall-cmd --get-services ##查看还有哪些服务可以打开
##防火墙预定义的服务配置文件是xml文件,目录在 /usr/lib/firewalld/services/,每个服务对应一个端口
##在配置ntp服务的时候需要打开udp 123端口,建议先打开防火墙的123端口,再启动ntp,当然关闭防火墙肯定也可以
firewalld中常用的区域zone名称及策略规则
| 区域(zone) | 默认策略规则 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量(一般用于内网) |
| home(家庭区域) | 允许与ssh、mdns、ipp-client、samba-client与dhcpv6-client服务匹配的传入流量,其余都拒绝, |
| Internal(内部区域) | 等同于home区域 |
| work(工作区域) | 允许与ssh、ipp-client与dhcpv6-client服务匹配的传入流量,其余都拒绝, |
| public(公共区域) | 允许与ssh、dhcpv6-client服务相匹配的传入流量,其余都拒绝,是新添加的网络端口的默认区域 |
| external(外部区域) | 允许与ssh服务匹配的传入流量,其余都拒绝,默认将通过此区域转发的IP v4传出流量进行地址伪装,用于路由器启用了伪装功能的外部网络 |
| dmz(隔离区域或非军事区域) | 允许与ssh服务匹配的传入流量,其余都拒绝, |
| block(限制区域) | 拒绝所有的传入流量 |
| drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含ICMP的错误相应 |
public区域是默认区域,包含所有接口(网卡)
3、查看信息
firewall-cmd --version ##查看版本
firewall-cmd --help ##查看帮助
firewall-cmd --state ##显示状态
firewall-cmd --get-active-zones ##查看区域信息
firewall-cmd --get-service ##获取所有支持的服务
firewall-cmd --get-zone-of-interface=eth0 ##查看指定接口所属区域
firewall-cmd --panic-on ##拒绝所有包
firewall-cmd --panic-off ##取消拒绝状态
firewall-cmd --query-panic ##查看是否拒绝
4、应急模式
firewall-cmd --panic-on ##开启应急模式
firewall-cmd --panic-off ##关闭应急模式
firewall-cmd --query-panic #查询应急模式