Linux 10 防火墙

一.防火墙自启动

防火墙原理

查看某一服务（防火墙为例子）是否自启动

systemctl is-enabled ufw.service

设置服务自启动 (服务运行级别 3、5)

systemctl enable ufw.service

设置服务禁用自启动 (服务运行级别 3、5)

systemctl disable ufw.service

二. firewalld和ufw防火墙

（1）启动停止防火墙

# firewalld
systemctl start firewalld
systemctl stop firewalld

# ufw
sudo ufw enable # 开启防火墙
sudo ufw disable # 关闭防火墙

（2）放行（添加）端口

# firewalld 临时放行
firewall-cmd --add-port=80/tcp
# 永久放行
firewall-cmd --add-port=80/tcp --permanent
firewall-cmd --reload

ufw allow 端口/协议
# 示例：放行22/tcp
ufw allow 22/tcp

注意：

端口开放权限之后一定要sudo ufw reload重置一下

（3）关闭 / 删除端口规则，关闭端口/禁用协议

firewall-cmd --permanent --remove-port=端口号/协议
# 删除规则
sudo ufw delete allow 端口/协议
# 示例：关闭22端口
sudo ufw delete allow 22/tcp

（4）查询单个端口是否放行

查询端口/协议是否开启
firewall-cmd --query-port=端口/协议
ufw 无单独 query 参数，用状态查看：
sudo ufw status | grep 端口
# 例：查80端口
sudo ufw status | grep 80

（5）查看所有放行端口

查询防火墙所有开放的端口/协议配置

firewall-cmd --list-ports

sudo ufw status
# 带序号查看（推荐）
sudo ufw status numbered

（6）重载防火墙（端口放行之后一定执行）

firewall-cmd --reload

sudo ufw reload

三. 对于重载防火墙，ufw和firewalld的区别

1. UFW 添加规则

自动写入永久配置文件，新开的连接马上生效；

已经连上的连接不受影响

ufw：规则落地即永久，新增端口即时生效，reload 只用来刷新改动、同步内核

修改 / 删除规则（delete、deny）→ 建议 sudo ufw reload

sudo ufw allow 端口 → 不用必须立刻 reload

2. firewalld规则

--permanent 只存磁盘，不 reload = 永远不生效，必须敲 firewall-cmd --reload