配置防火墙策略

一、处理运行时区域:

  • 运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效
1、启用区域中的一种服务即给某个区域开启某个服务
firewall-cmd [--zone=区域] --add-service=服务 [--timeout=秒数] 
# 此操作启用区域中的一种服务。如果未指定区域,将使用默认区域。如果设定了超时时间, 服务将只启用特定秒数。

2、禁用区域中的某种服务即关闭某个服务
firewall-cmd [--zone=区域] --remove-service=服务      
# 此举禁用区域中的某种服务。如果未指定区域,将使用默认区域。 

3、查询区域中是否启用了特定服务 
 firewall-cmd [--zone=区域] --query-service=服务     
# Yes表示服务启用,no表示服务关掉了。

4、启用区域端口和协议组合 
firewall-cmd [--zone=区域] --add-port=portid[-portid]/protocol [-timeout=seconds]  
 此操作将启用端口和协议的组合。端口可以是一个单独的端口或者是一个端口范围 - 。协议 可以是tcp或udp。

5、禁用端口和协议组合
 firewall-cmd [--zone=区域] --remove-port=portid[-portid]/protocol   

6、查询区域中是否启用了端口和协议组合 
 firewall-cmd [--zone=区域] --query-port=portid[-portid]/protocol   

7、启用区域中的 IP 伪装功能 
firewall-cmd [--zone=区域] --add-masquerade     
#此操作启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。

8、禁用区域中的 IP 伪装 
 firewall-cmd [--zone=区域] --remove-masquerade    

9、查询区域的伪装状态 
 firewall-cmd [--zone=区域] --query-masquerade    
# 注意:启用伪装功能的主机同时会自动开启路由转发服务。

10、启用区域的 ICMP 阻塞功能
 firewall-cmd [--zone=区域] --add-icmp-block=icmp类型    
# 此操作将启用选中的 Internet 控制报文协议(ICMP)报文进行阻塞。 ICMP 报文可以是请求信息或者创建的应答报文,以及错误应答。

11、禁止区域的 ICMP 阻塞功能 
# firewall-cmd [--zone=区域] --remove-icmp-block=icmp类型  

12、查询区域的 ICMP 阻塞功能 
# firewall-cmd [--zone=区域] --query-icmp-block=icmp类型   

13、在区域中启用端口转发或映射 
 firewall-cmd [--zone=区域] --add-forward-port=port=portid[portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]     
 
14、禁止区域的端口转发或者端口映射  
# firewall-cmd [--zone=] --remove-forward-port=port=portid[portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]   

15、查询区域的端口转发或者端口映射 
# firewall-cmd [--zone=]--query-forward-port=port=portid[portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]

firewalld防火墙-配置防火墙策略_Linux

处理永久区域

  • 永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行 时和永久设置,需要分别设置两者。选项--permanent需要是永久设置的第一个参数。

1、获取永久选项所支持的服务

firewall-cmd --permanent --get-services

2、获取永久选项所支持的ICMP类型列表

firewall-cmd --permanent --get-icmptypes

3、获取支持的永久区域

firewall-cmd --permanent --get-zones

4、配置防火墙在public区域打开http协议,并保存,以致重启有效

firewall-cmd --permanent --zone=public --add-service=http

查看永久模式下public区域是否打开http服务

firewall-cmd --permanent --zone=public --query-service=http

5、防火墙开放8080端口在public区域

firewall-cmd --permanent --zone=public --add-port=8080/tcp