7 firewalld打开关闭防火墙与端口

firewalld 常用命令

0、安装firewalld   # yum install firewalld firewall-config

1、firewalld的基本使用

启动： systemctl start firewalld 查看状态： systemctl status firewalld  停止： systemctl disable firewalld 禁用： systemctl stop firewalld 更新规则，不重启服务：firewall-cmd --reload    更新规则，重启服务：firewall-cmd --complete-reload    2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。 启动一个服务：systemctl start firewalld.service 关闭一个服务：systemctl stop firewalld.service 重启一个服务：systemctl restart firewalld.service 显示一个服务的状态：systemctl status firewalld.service 在开机时启用一个服务：systemctl enable firewalld.service 在开机时禁用一个服务：systemctl disable firewalld.service 查看服务是否开机启动：systemctl is-enabled firewalld.service 查看已启动的服务列表：systemctl list-unit-files|grep enabled 查看启动失败的服务列表：systemctl --failed 3.配置firewalld-cmd 查看版本： firewall-cmd --version 查看帮助： firewall-cmd --help 显示状态： firewall-cmd --state 查看所有打开的端口： firewall-cmd --zone=public --list-ports 更新防火墙规则： firewall-cmd --reload 查看区域信息:  firewall-cmd --get-active-zones 查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0 拒绝所有包：firewall-cmd --panic-on 取消拒绝状态： firewall-cmd --panic-off 查看是否拒绝： firewall-cmd --query-panic   4、开启一个端口 添加 firewall-cmd --zone=public --add-port=80/tcp --permanent    （--permanent永久生效，没有此参数重启后失效） 重新载入 firewall-cmd --reload 查看 firewall-cmd --zone= public --query-port=80/tcp 删除

firewall-cmd --zone= public --remove-port=80/tcp --permanent

5、IP地址伪装 查看：firewall-cmd --zone=external --query-masquerade 打开伪装：firewall-cmd --zone=external --add-masquerade 关闭伪装：firewall-cmd --zone=external --remove-masquerade 6、端口转发 打开端口转发，需先 firewall-cmd --zone=external --add-masquerade 然后转发 tcp 22 端口至 3753 firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753 转发 22 端口数据至另一个 ip 的相同端口上 firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=172.25.15.122 转发 22 端口数据至另一 ip 的 2055 端口上 firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=172.25.15.122

7、运行、停止、禁用firewalld 启动：# systemctl start  firewalld 查看状态：# systemctl status firewalld 或者 firewall-cmd --state 停止：# systemctl disable firewalld 禁用：# systemctl stop firewalld

注：

Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别  drop: 丢弃所有进入的包，而不给出任何响应  block: 拒绝所有外部发起的连接，允许内部发起的连接  public: 允许指定的进入连接  external: 同上，对伪装的进入连接，一般用于路由转发  dmz: 允许受限制的进入连接  work: 允许受信任的计算机被限制的进入连接，类似 workgroup  home: 同上，类似 homegroup  internal: 同上，范围针对所有互联网用户  trusted: 信任所有连接