使用命令或直接编辑防火墙放行文件/etc/firewalld/zones/public.xml
firewall-cmd
作用域:–zone
添加端口:–add-port
永久生效:–permanent
列出端口:–list-ports
重新加载防火墙配置:–reload
注:防火墙修改配置后,需要重启防火墙才可生效
————————————————————————
查看所有加入防火墙域的端口
firewall-cmd --list-ports
“放行域”,添加80端口,并永久生效
firewall-cmd --zone=public --add-port=80/tcp --permanent
“放行域”,移除80端口,并永久生效
firewall-cmd --zone=public --remove-port=80/tcp --permanent
查看所有端口中的“永久生效”端口
firewall-cmd --list-ports --permanent
“放行域”中,查询是否有80端口(查询当前80端口是否放行)
firewall-cmd --zone=public --query-port=80/tcp
“放行域”中,查询是否有80端口,且“永久生效”(查询80端口是否永久放行)
firewall-cmd --zone=public --query-port=80/tcp --permanent
————————————————————————
禁止访问:rich
注:dorp,直接丢弃,不返回任何数据。reject,返回拒绝信息。(如可以攻击可直接drop)
#禁止IP(192.168.68.250)访问机器
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.68.250" drop'
#禁止一个IP段,比如禁止192.168.*.*
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.0.0/16" drop'
#禁止一个IP段,比如禁止192.168.68.*
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.68.0/24" drop'
#从防火墙规则中删除已禁止的IP(192.168.68.250)
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="192.168.68.250" drop'
——————————添加放行端口脚本,如下——————————
read -p "请输入放行端口号:" PORT
#</zone>前追加端口
sed -i "/<\/zone>/i\ <port protocol=\"tcp\" port=\"$PORT\"/>" /etc/firewalld/zones/public.xml
#重新加载防火墙
firewall-cmd --reload > /dev/null
例:
# 添加多个端口
firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp
# 删除某个端口
firewall-cmd --permanent --zone=public --remove-port=81/tcp
# 针对某个 IP开放端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.250" port protocol="tcp" port="6379" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.251" accept"
# 删除某个IP
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.68.51" accept"
# 针对一个ip段访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.0/24" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.68.0/24" port protocol="tcp" port="9200" accept"
发表评论