CentOS firewall基本配置命令
# 查看是否開啓
systemctl status firewalld.service
# 打開防火牆
systemctl start firewalld.service
# 停用防火牆
systemctl disable firewalld
# 禁用防火牆
systemctl stop firewalld.service
# 開機啓動
systemctl enable firewalld
# 取消開機啓動
systemctl disable firewalld
# 查看運行狀態
firewall-cmd --state
# 查看接口信息
firewall-cmd --list-all
# 更新防火牆規則方法1:無需斷開連接,動態更改規則
firewall-cmd --reload
# 更新防火牆規則方法2:斷開連接,以重啓的方式更改規則
firewall-cmd --complete-reload
# 查看幫助
firewall-cmd --help
--zone=NAME # 指定 Zone
--permanent # 爲永久生效
--timeout=seconds # 持續一段時間,到期後自動移除,經常用於調試,且不能與 --permanent 同時使用
# 追加一個8181端口,永久有效
firewall-cmd --add-port=8181/tcp --permanent
# 追加一段端口範圍
firewall-cmd --add-port=6000-6600/tcp
# 開放 ftp 服務
firewall-cmd --add-service=ftp
# 添加eth0 接口至 public 信任等級,永久有效
firewall-cmd --zone=public --add-interface=eth0 --permanent
# 配置 public zone 的端口轉發
firewall-cmd --zone=public --add-masquerade
# 然後轉發 tcp 22 端口至 9527
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=9527
# 轉發 22 端口數據至另一個 ip 的相同端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.123
# 轉發 22 端口數據至另一 ip 的 9527 端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=9527:toaddr=192.168.1.100
# IP 封禁
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.123' reject"
# 通過 ipset 來封禁 ip
firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip
firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=192.168.1.123
# 封禁網段
firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=192.168.1.0/24
# 倒入 ipset 規則 blacklist,然後封禁 blacklist
firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklist.xml
firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'
