防火墙firewalld--命令

二.操作命令

启动 systemctl start firewalld

查看状态 systemctl status firewalld / firewall-cmd --state

停止 systemctl stop firewalld

禁用 systemctl disable firewalld

三.使用命令

firewall的状态

查看防火墙的状态 --state

重新加载防火墙，中断用户的连接，将临时配置清掉，加载配置文件中的永久配置 --reload

重新加载防火墙，不中断用户的连接（防火墙出严重故障时使用） --complete-reload

紧急模式，强制关闭所有网络连接,–panic-off是关闭紧急模式 --panic-on

配置集

使用firewall-cmd添加的操作，重启会失效

添加**–permanent**可以写到配置文件里，永久生效 firewall-cmd --zone=public --add-service=http

区域

可以将配置写到不同与其中，例如public区域允许22端口，而external则允许80端口访问。这样登陆机器开启public，而提供服务的机器开启external。

查看支持的所有ICMP类型 --get-icmptypes

查看所有区域 --get-zones

查看当前的默认区域 --get-default-zone

更改默认的区域 --set-default-zone=work

查看当前正在使用的区域 --get-active-zones

查看当前区域支持的服务 --get-services

查看当前区域开放的服务列表 --list-services

查看此区域内的所有配置，类似与iptables -L -n --zone=public --list-all

查看所有区域配置 --list-all-zones

限制规则

add添加 remove删除/禁用

将网络接口添加到默认的区域内 --add-interface=eth0

将网络接口在默认的区域内删除 --remove-interface=eth0

添加端口到区域开放列表中 --add-port=12222/tcp

将端口范围添加到开放列表中 --add-port=5000-10000/tcp

添加服务到区域开放列表中（注意服务的名称需要与此区域支持的服务列表中的名称一致） --add-service=ftp

区域内将http服务删除在开放列表中删除 --remove-service=ftp

添加源地址的流量到指定区域 --add-source=192.168.1.1

删除源地址的流量到指定区域 --remove-source=192.168.1.1

改变指定的接口到其他区域 --change-interface=eth1

确定该网卡接口是否存在于此区域 --query-interface=eth1

开启SNAT（源地址转换） --add-masquerade

查询SNAT的状态 --query-masquerade

开启SNAT（源地址转换） --add-masquerade

端口转发，本地513到其他机器的22端口，要开启masquerade --add-forward-port=port=513:proto=tcp:toport=22:toaddr=192.168.100.101