Linux运维--Firewall防火墙命令以及规则等详解（全）

本文主要是介绍Linux运维--Firewall防火墙命令以及规则等详解（全），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

Linux运维–Firewall防火墙命令以及规则等详解（全）

在Linux系统中，你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具，而iptables是一个更底层的工具，可以直接配置Linux内核的防火墙规则。

在RHEL 6.9及更早版本中，使用的是iptables作为防火墙管理工具，而在RHEL 7及更新版本中则使用Firewalld。

1、启用/禁用防火墙：
systemctl start firewalld

systemctl stop firewalld

2、设置防火墙开机启动：
systemctl enable firewalld

3、禁用firewall防火墙（开机不启动）
systemctl disabled firewalld

4、防火墙状态查看
systemctl status firewalld
或者
firewall-cmd –state

5、版本查看
firewall-cmd –version

1.2 查看和设置默认区域

1、查看默认区域
firewall-cmd --get-default-zone

2、查看所有可用的区域
firewall-cmd –get-zones

3、查看当前活动区域
firewall-cmd –get-active-zones

4、查看特定区域支持的所有特性
firewall-cmd –zone=zone_name --list-all ##其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有特性，可以运行以下命令：

firewall-cmd --zone=public --list-all

这将列出"public"区域支持的所有特性，包括开放的端口、允许的服务等信息。

5、查看特定区域支持的所有服务
firewall-cmd --zone=zone_name --list-services

其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有服务，可以运行以下命令：

firewall-cmd --zone=public --list-services

这将列出“public”区域支持的所有服务。

6、设置默认区域firewall-cmd --set-default-zone=your_zone其中，your_zone 是你想要设置的默认区域的名称，比如 public、internal、dmz 等。

1.3 使用firewalld进行规则配置

• 1、添加规则：

1、开放端口：

firewall-cmd --zone=public --add-port=80/tcp --permanent

–zone=public：指定了要修改的防火墙区域，这里是"public"区域，你可以根据需要修改为其他区域名称。
–add-port=80/tcp：表示要开放的端口为80，使用的协议为TCP。你可以根据实际情况修改端口号和协议类型。如果你想同时开放UDP端口，可以在端口号后面加上"/udp"。
–permanent：表示将修改永久保存到防火墙配置中，使得重启后仍然生效。

这个命令的作用是将TCP端口80开放在指定的防火墙区域中，允许外部主机访问该端口。

2、允许服务：

firewall-cmd --zone=public --add-service=http --permanent

–zone=public：同样是指定要修改的防火墙区域，这里也是"public"区域。
–add-service=http：表示要允许的服务为HTTP，Firewalld提供了一系列预定义的服务名称，这里使用了"http"服务名称，代表HTTP服务。你也可以使用其他预定义服务名称，如"https"、"ssh"等。
–permanent：同样表示将修改永久保存到防火墙配置中。

这个命令的作用是允许HTTP服务在指定的防火墙区域中，允许外部主机访问HTTP服务。

• 2、删除规则：

要删除Firewalld中的规则，可以使用以下命令：

1、删除端口规则：

firewall-cmd --zone=zone_name --remove-port=port/tcp --permanent

其中：

zone_name 是要操作的防火墙区域的名称。
port 是要删除的端口号。
tcp 是要删除的协议类型，如果端口是UDP的，就使用 udp。

例如，要删除在"public"区域中永久开放的TCP端口80的规则，可以运行：

firewall-cmd --zone=public --remove-port=80/tcp --permanent

2、删除服务规则：

firewall-cmd --zone=zone_name --remove-service=service_name --permanent

其中：

zone_name 是要操作的防火墙区域的名称。
service_name 是要删除的服务名称。

例如，要删除在"public"区域中永久允许的HTTP服务规则，可以运行：

firewall-cmd --zone=public --remove-service=http --permanent

1.4 重新加载防火墙配置

无论是添加还是删除规则后，都需要重新加载防火墙配置才能使更改生效：

firewall-cmd --reload

1.5 查询已开放的端口、已允许的服务

1、查询已开放的端口：

firewall-cmd --zone=zone_name --list-ports
##其中： zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经开放的端口，可以运行：

firewall-cmd --zone=public --list-ports

这将列出该区域中已经开放的所有端口。

2、查询防火墙是否已打开特定端口：

firewall-cmd --query-port=端口/tcp

例如，要查询端口号 80 是否已打开，可以执行以下命令：

firewall-cmd --query-port=80/tcp

这将返回 yes 或 no，指示端口 80 是否已在防火墙中打开。

3、查询已允许的服务：

firewall-cmd --zone=zone_name --list-services

##其中：zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经允许的服务，可以运行：

firewall-cmd --zone=public --list-services

Linux防火墙Firewall常用命令

本文介绍了firewall防火墙的常用简单命令，以CentOS系统为例展示了防火墙的启用、关闭及通行规则设置等命令。

• 查看/开启/关闭/重启/加载防火墙

• 防火墙开机自启设置

• 按端口查询/开放/移除放行规则

• 按服务查询/开放/移除放行规则

• 端口转发

• 扩展

查看/开启/关闭/重启/加载防火墙

#查看防火墙状态
systemctl status firewalld
#开启防火墙
systemctl start firewalld
#关闭防火墙
systemctl stop firewalld
#重启防火墙
systemctl restart firewalld
#重新加载防火墙
firewall-cmd --reload
firewall-cmd --complete-reload
#两者的区别就是第一个不会断开连接，就是firewalld特性之一动态添加规则，第二个会断开所有连接，类似重启服务加载

防火墙开机自启设置

#查看防火墙是否自启，disabled则是开机不自动启动的
systemctl is-enabled firewalld
#设置防火墙开机自启
systemctl enable firewalld
#设置防火墙禁止开机自启
systemctl disable firewalld

按端口查询/开放/移除放行规则

#查询所有已经开放的端口列表
firewall-cmd --zone=public --list-ports
#查看指定端口开放状态
firewall-cmd --zone=public --query-port=端口号/协议
#永久开放指定端口，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-port=端口/协议
#永久移除已开放的指定端口，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --remove-port=端口/协议
#批量开放多个连续端口
firewall-cmd --permanent --zone=public --add-port=端口-端口/协议
#移除批量开放的连续端口，端口范围需与开放时的范围一致
firewall-cmd --permanent --zone=public --add-port=端口-端口/协议

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效，临时的无需重新加载
firewall-cmd --reload

按服务查询/开放/移除放行规则

#查询支持开放的服务列表
firewall-cmd --get-services
#查询已开放的服务列表
firewall-cmd --zone=public --list-services
#查询某个服务是否开放
firewall-cmd --zone=public --query-service=服务名
#永久开放指定服务，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-service=服务名
#永久移除指定服务，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --remove-service=服务名

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效，临时的无需重新加载
firewall-cmd --reload

端口转发

#查看所有端口转发规则
firewall-cmd --zone=public --list-forward
#本机端口转发，将80端口的流量转发至8080端口，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080
#服务器之间转发，将本机80端口的流量转发至192.168.0.12服务器上，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.12 --permanent
#服务器之间转发，将本机80端口的流量转发至192.168.0.12的8080端口上，permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.12:toport=8080 --permanent
#移除端口转发规则
firewall-cmd --permanent --zone=public --remove-forward-port=port=80:proto=tcp:toport=8080

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效，临时的无需重新加载
firewall-cmd --reload

#服务器之间转发需允许防火墙伪装IP
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade # 禁止防火墙伪装IP

扩展

zone的概念

命令中如果不加zone信息，会将规则作用于默认域

#查看默认域
firewall-cmd --get-default-zone

public(公共) —— [默认]公网访问，不受任何限制。

work(工作) —— 用于工作区。基本信任的网络，仅仅接收经过选择的连接。

home(家庭) —— 用于家庭网络。基本信任的网络，仅仅接收经过选择的连接。

trusted(信任) —— 接收的外部网络连接是可信任、可接受的。

block(限制) —— 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

dmz(隔离区) —— 英文"demilitarized zone"的缩写，此区域内可公开访问，它是非安全系统与安全系统之间的缓冲区。

drop(丢弃) —— 任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接。

external(外部) —— 允许指定的外部网络进入连接，特别是为路由器启用了伪装功能的外部网。

internal(内部) —— 内部访问。只限于本地访问，其他不能访问。

firewall-cmd常用命令格式

#列出放行规则
firewall-cmd [–permanent] [–zone=zone] --list-sources
#查询放行规则状态
firewall-cmd [–permanent] [–zone=zone] --query-source=source[/mask]
#添加放行规则
firewall-cmd [–permanent] [–zone=zone] --add-source=source[/mask]
#移除放行规则
firewall-cmd [–permanent] [–zone=zone] --remove-source=source[/mask]
#更换放行规则作用域
firewall-cmd [–zone=zone] --change-source=source[/mask]

Firewall实操

目录

• 前言
• 1. iptables防火墙常用命令
• 2. firewall防火墙常用命令
• • 2.1 firewall-cmd命令
  • 2.2 打开关闭端口

前言

主要讲解：
防火墙的开启与关闭等常用命令
firewall-cmd配置端口等

Centos7这个版本的防火墙使用的是firewall，在这之前的版本Centos 6以下都是使用iptables

现在多数版本都是使用的是firewall，如果你的iptables执行不了，可测试一下firewall命令参数

1. iptables防火墙常用命令

比如我使用的是ubuntu系统下的
使用iptables命令，查询其参数

由于博主这个命令已经没有了
以下命令都执行不了， 但如果你是centos6以下，也可以测试以下命令
回顾该命令的参数：

• 查看防火墙状态：service iptables status

• 停止防火墙：service iptables stop

• 启动防火墙：service iptables start

• 重启防火墙：service iptables restart

• 永久关闭防火墙：chkconfig iptables off

• 永久关闭后重启：chkconfig iptables on

开启端口号
在配置文件中直接打开某个端口并且启动后，重新打开防火墙的一系列命令为：
通过vi 或者vim 或者gedit打开这个文件/etc/sysconfig/iptables
在文后加入以下代码

-A INPUT -m state --state NEW -m tcp -p tcp --dport 端口号 -j ACCEPT

保存退出后重启防火墙

2. firewall防火墙常用命令

这些命令都可在我的电脑下执行

设置开启启动防火墙：
systemctl enable firewalld.service
设置开机禁止防火墙：
systemctl disable firewalld.service
启动防火墙：systemctl start firewalld
静止防火墙：systemctl stop firewalld

查看防火墙的具体信息，以及检查其状态：systemctl status firewalld

2.1 firewall-cmd命令

查看防火墙规则：firewall-cmd --list-all

查看防火墙状态：firewall-cmd --state

重新加载配置：firewall-cmd --reload

2.2 打开关闭端口

打开防火墙端口号：

关闭防火墙端口号：
firewall-cmd --zone=public --remove-port=9200/tcp --permanent

具体参数讲解
--permanent：设置为永久
--add-port：添加的端口，格式为端口/通讯协议
--zone ：作用域

添加完端口号后记得重启以下，才能看见端口号firewall-cmd --reload
查看开放的端口：firewall-cmd --list-ports

这篇关于Linux运维--Firewall防火墙命令以及规则等详解（全）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！