Firewall 防火牆規則

一. 設置firewall規則
圖形化配置工具：# firewall-config


開放 刪除 端口：8080
0k --zone=public --permanent --add-port=8080/tcp
• #--zone #作用域
• #--add-port=80/tcp #添加端口，格式為：端口/通訊協議
• #--permanent 永久生效，沒有此參數重啟后失效
• #多個端口（80-90 十一個端口）:
• firewall-cmd --zone=public --add-port=80-90/tcp --permanent
• firewall-cmd --zone=public --permanent --add-port=111/tcp --add-port=139/tcp --add-port=445/tcp

#刪除
firewall-cmd --zone=public --remove-port=80/tcp --permanent

禁用 添加 刪除 域規則(富規則)：
1：對特定ip 禁止訪問shh服務 （ip ssh可以自己改別的 reject是禁止 accept是允許 add改為remove即為刪除）
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"

2：下面的是對特定ip允許訪問8080端口（你也可以自己改）
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

端口轉發：
端口轉發，將到本機的3306端口的訪問轉發到192.168.1.1服務器的3306端口
# 開啟偽裝IP
firewall-cmd --permanent --add-masquerade
# 配置端口轉發
firewall-cmd --permanent --add-forward-port=port=3306:proto=tcp:toaddr=192.168.1.2:toport=13306
注意：如果不開啟偽裝IP，端口轉發會失敗；其次，要確保源服務器上的端口（3306）和目標服務器上的端口（13306）是開啟的。


二. firewall命令
1.啟動, 停止, 重啟firewalld
1. 停止
systemctl stop firewalld.service
2. 啟動
systemctl start firewalld.service
3. 重啟
systemctl restart firewalld.service
4. 查看狀態：
systemctl status firewalld
5.禁止firewall開機啟動
systemctl disable firewalld
6. 設置開機啟用防火牆：
systemctl enable firewalld.service
2.查看firewall規則與狀態
1. 查看默認防火牆狀態（關閉后顯示notrunning，開啟后顯示running）
firewall-cmd --state              
2. 查看防火牆規則（只顯示/etc/firewalld/zones/public.xml中防火牆策略）
firewall-cmd --list-all           
3. 查看所有的防火牆策略（即顯示/etc/firewalld/zones/下的所有策略）
firewall-cmd --list-all-zones     
4. 重新加載配置文件  reload使生效
firewall-cmd --reload             
3.配置firewalld-cmd
查看版本： firewall-cmd --version
查看幫助： firewall-cmd --help
顯示狀態： firewall-cmd --state
查看所有打開的端口： firewall-cmd --zone=public --list-ports
更新防火牆規則： firewall-cmd --reload
查看區域信息:  firewall-cmd --get-active-zones
查看指定接口所屬區域： firewall-cmd --get-zone-of-interface=eth0
拒絕所有包：firewall-cmd --panic-on
取消拒絕狀態： firewall-cmd --panic-off
查看是否拒絕： firewall-cmd --query-panic
4. 那怎么開啟一個端口呢
1. 添加（--permanent永久生效，沒有此參數重啟后失效）
firewall-cmd --zone=public --add-port=80/tcp --permanent
2. 重新載入(修改規則后使其生效)
firewall-cmd --reload
3. 查看
firewall-cmd --zone= public --query-port=80/tcp
4. 刪除
firewall-cmd --zone= public --remove-port=80/tcp --permanent
 
因為在/usr/lib/firewalld/services/中事先定義了ssh.xml的相應的規則
5. systemctl是CentOS7的服務管理工具中主要的工具，它融合之前service和chkconfig的功能於一體。
啟動一個服務：systemctl start firewalld.service
關閉一個服務：systemctl stop firewalld.service
重啟一個服務：systemctl restart firewalld.service
顯示一個服務的狀態：systemctl status firewalld.service
在開機時啟用一個服務：systemctl enable firewalld.service
在開機時禁用一個服務：systemctl disable firewalld.service
查看服務是否開機啟動：systemctl is-enabled firewalld.service
查看已啟動的服務列表：systemctl list-unit-files|grep enabled
查看啟動失敗的服務列表：systemctl --failed


# lsof -i tcp:6379   #查看某個端口是否開放，及占用信息