firewall-cmd 防火墙相关命令

firewall-cmd 防火墙相关命令

使用命令或直接编辑防火墙放行文件/etc/firewalld/zones/public.xml

firewall-cmd

作用域:–zone

添加端口:–add-port

永久生效:–permanent

列出端口:–list-ports

重新加载防火墙配置:–reload

注:防火墙修改配置后,需要重启防火墙才可生效

————————————————————————

查看所有加入防火墙域的端口

firewall-cmd --list-ports

放行域”,添加80端口,并永久生效

firewall-cmd --zone=public --add-port=80/tcp --permanent

放行域”,移除80端口,并永久生效

firewall-cmd --zone=public --remove-port=80/tcp  --permanent

查看所有端口中的“永久生效”端口

firewall-cmd --list-ports --permanent

“放行域”中,查询是否有80端口(查询当前80端口是否放行)

firewall-cmd --zone=public --query-port=80/tcp

“放行域”中,查询是否有80端口,且“永久生效”(查询80端口是否永久放行)

firewall-cmd --zone=public --query-port=80/tcp --permanent

————————————————————————

禁止访问:rich

注:dorp,直接丢弃,不返回任何数据。reject,返回拒绝信息。(如可以攻击可直接drop)

#禁止IP(192.168.68.250)访问机器
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.68.250" drop'
#禁止一个IP段,比如禁止192.168.*.*
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.0.0/16" drop'
#禁止一个IP段,比如禁止192.168.68.*
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.68.0/24" drop'

#从防火墙规则中删除已禁止的IP(192.168.68.250)
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="192.168.68.250" drop'

——————————添加放行端口脚本,如下——————————

read -p "请输入放行端口号:" PORT
#</zone>前追加端口
sed -i  "/<\/zone>/i\  <port protocol=\"tcp\" port=\"$PORT\"/>" /etc/firewalld/zones/public.xml
#重新加载防火墙
firewall-cmd --reload  > /dev/null

例:

# 添加多个端口
firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp
 
# 删除某个端口
firewall-cmd --permanent --zone=public --remove-port=81/tcp
 
# 针对某个 IP开放端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.250" port protocol="tcp" port="6379" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.251" accept"
 
# 删除某个IP
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.68.51" accept"
 
# 针对一个ip段访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.0/24" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.0/24" port protocol="tcp" port="9200" accept"
 
good good study, day day up!

发表评论

textsms
account_circle
email

firewall-cmd 防火墙相关命令
使用命令或直接编辑防火墙放行文件/etc/firewalld/zones/public.xml firewall-cmd 作用域:--zone 添加端口:--add-port 永久生效:--permanent 列出端口:--list-ports …
扫描二维码继续阅读
2021-03-11