firewall-cmd 命令详解
firewall-cmd 命令是用于管理防火墙的命令,该命令可以用于 CentOS/RHEL 7 和更高版本中的防火墙管理。
以下是一个关于 firewall-cmd 命令用法的完整介绍:
基本语法
firewall-cmd --zone=zone-name --add-service=service-name --permanent命令参数
- --zone:指定要添加服务的区域名称。
- --add-service:指定要添加的服务名称。
- --permanent:指定该规则永久生效。
除此之外,还有其他可选参数:
- --list-all:列出所有规则。
- --reload:重新加载防火墙规则。
- --permanent:将规则保存到永久配置中,以便系统重启后仍然有效。
- --delete-service:删除服务。
- --list-services:列出当前系统中所有可用服务。
- --add-source:添加一个 IP 或 IP 段。
- --remove-source:删除一个 IP 或 IP 段。
- --list-sources:列出所有已添加的 IP 或 IP 段。
- --add-port:添加端口。
- --remove-port:删除端口。
- --list-ports:列出所有已添加的端口。
- --add-rich-rule:添加一个更加复杂的规则。
- --query-service:查询服务是否可用。
- --get-zones:列出所有可用的区域。
- --zone=zone-name:指定一个区域。
零、安装与管理firewall服务
# 安装firewalld
yum install firewalld firewall-config
# 安装iptables
yum install iptables-services
#开启防火墙
systemctl start firewalld.service
#关闭防火墙
systemctl stop firewalld.service
#防火墙开机自启
systemctl enable firewalld.service
#防火墙开机禁用
systemctl disable firewalld
#查看防火墙状态
systemctl status firewalld
firewall-cmd --state
#查看现有的规则
iptables -nL
firewall-cmd --zone=public --list-ports
#重载防火墙配置
firewall-cmd--reload
#断开连接,重启防火墙服务
firewall-cmd --complete-reload
# 设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public
# 将eth0接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0
一 、控制端口/服务
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。
firewall-cmd --add-service=mysql # 开放mysql端口
firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
firewall-cmd --add-port=233/udp # 开放通过udp访问233
firewall-cmd --add-port=100-500/tcp # 批量开放100到500端口的TCP协议通过
firewall-cmd --remove-port=80/tcp # 阻止通过tcp访问80端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --query-port=22/tcp # 查看开放TCP协议22号端口是否生效
firewall-cmd --list-ports # 查看开放的端口
firewall-cmd --list-services # 查看开放的服务
firewall-cmd --list-all # 查看开放的服务与端口有哪些
二、开放或限制IP
限制使用reject、开放使用accept
# 限制IP地址192.168.0.200访问TCP协议80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"
# 删除限制IP地址192.168.0.200对TCP协议80端口访问
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"
# 允许IP地址192.168.0.233对服务器的访问
firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4" source address="192.168.0.233" accept"
# 查看限制规则
firewall-cmd --zone=public --list-rich-rules
# 限制IP地址段10.0.0.0/24禁止访问服务器TCP协议80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
# 限制IP地址段10.0.0.0/24允许访问服务器TCP协议80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
无法删除rich-rule规则时,可以直接去更改public.xml配置文件,配置文件路径:vi /etc/firewalld/zones/public.xml
三、禁ping/允许ping
# 查看ICMP请求当前是否被阻止:
firewall-cmd --zone=external --query-icmp-block=echo-request
# 阻止ICMP请求,并回应
firewall-cmd --zone=external --add-icmp-block=echo-request
firewall-cmd --zone=external --add-icmp-block=echo-reply
firewall-cmd --runtime-to-permanent
iptables对应命令:
iptables -A INPUT -p icmp -j DROP 将数据包丢弃,不回应
iptables -A INPUT -p icmp -j REJECT 将数据包丢弃并回应
在完全不提供任何信息的情况下阻止ICMP请求
firewall-cmd --zone=external --set-target=DROP --permanent
firewall-cmd --reload允许或取消icmp协议流量
firewall-cmd --zone=drop --add-protocol=icmp #允许icmp协议流量,即允许ping
firewall-cmd --zone=drop --remove-protocol=icmpICMP协议开启
echo "net.ipv4.icmp_echo_ignore_all=0" >> /etc/sysctl.conf && sysctl -p 允许单个IP的ICMP请求
#允许192.168.50.10向防火墙发起ICMP请求
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.50.10" protocol value="icmp" accept"
四、伪装IP
防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --permanent --add-masquerade # 允许防火墙伪装IP
firewall-cmd --permanent --remove-masquerade# 禁止防火墙伪装IP
五、端口转发
端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:
- 比如我将80端口转发至8080端口,首先检查本地的80端口和目标的8080端口是否开放监听了
- 其次检查是否允许伪装IP,没允许的话要开启伪装IP
# 将80端口的流量转发至8080
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
# 将80端口的流量转发至192.168.0.1
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1
# 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080
注意事项
- 在修改防火墙规则时,建议使用 --permanent 选项,以便该规则在系统重启后仍然有效。
- 建议使用防火墙决策相关的策略来管理您的防火墙,以确保系统的安全性。