[Linux]Redhat7防火墙配置汇总

Redhat7防火墙常用配置

 

重启防火墙服务

systemctl restart firewalld.service

 

查看防火墙服务状态

systemctl status firewalld.service

 

永久启用/禁用防火墙

systemctl enable firewalld.service

systemctl disable firewalld.service

 

查看所有防火墙规则

firewall-cmd --list-all

 

重新加载（新配置规则生效，需要重启服务或者重载）

firewall-cmd --reload

 

防火墙图形页面

firewall-config

 

允许防火墙放行ssh服务

firewall-cmd --permanent --add-service=ssh

 

添加富规则（rich-rule）

添加使用add，删除使用remove

允许8.0.100.0/24网段通过ssh服务访问

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=8.0.100.0/24 service name=ssh accept'

禁止10.0.100.0/24网段通过ssh服务访问

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.0.100.0/24 service name=ssh reject'

 

端口转发

在192.168.100.0/24的主机，访问本地2345端口时自动转发到80端口

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.100.0/24 forward-port port=2345 protocol=tcp to-port=80'

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.100.0/24 forward-port port=2345 protocol=udp to-port=80'

 

允许8.0.100.0/24网段的主机，访问注册的8864端口

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=8.0.100.0/24 port port=8864 protocol=tcp accept'

 

启用紧急模式（单机环境，断开所有连接，调试用）

firewall-cmd --panic-on

 

禁用紧急模式

firewall-cmd --panic-off

 

查询紧急模式状态

firewall-cmd --query-panic

 

查看当前区域

firewall-cmd --get-default-zone

 

查看所有支持的区域

firewall-cmd --get-zones

 

设置trusted区域为当前区域

firewall-cmd --set-default-zone=trusted

 

根据接口查询区域

firewall-cmd --get-zone-of-interface=eno16777736

 

添加当前源地址

firewall-cmd --add-source=192.168.100.1/24

 

删除源地址

firewall-cmd --remove-source=192.168.100.1/24

 

添加8080端口

firewall-cmd --add-port=8080/tcp

 

删除8080端口

firewall-cmd --remove-port=8080/tcp

 

设置服务超时时间，即服务的开启时间，单位秒

firewall-cmd --add-service=http --timeout=10

 

列出所支持的ICMP类型

firewall-cmd --get-icmptypes

 

列出所有区域的详细信息

firewall-cmd --list-all-zones

 

列出指定区域的规则

firewall-cmd --zone=trusted --list-all

 

启用伪装功能，私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4

firewall-cmd --add-masquerade

 

添加禁止icmp报文

firewall-cmd --add-icmp-block=echo-request

 

永久启用 home 区域中的 https (tcp443) 端口

firewall-cmd --permanent --zone=home --add-port=443/tcp