linux——防火牆常用命令

 

1.查看防火牆的狀態

[root@localhost ~]# firewall-cmd --state   查看防火牆的運行狀態
not running

[root@localhost ]# systemctl status firewalld.service   查看防火牆服務是否開啟，可以把 .service去掉
[root@localhost ]# systemctl status firewall   查看防火牆服務是否開啟
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
[root@localhost ]#

2.開啟防火牆

開啟防火牆(重啟服務器后又會重新關閉)

[root@localhost ~]# systemctl start firewalld.service

設置防火牆開機自動啟動

[root@localhost ~]# systemctl enable firewalld.service   

重啟防火牆

[root@localhost ~]# systemctl restart firewalld.service 

3.查看 firewalld 服務當前所使用的區域 

[root@localhost ~]# firewall-cmd --get-default-zone 
public
[root@localhost ~]#

4.為默認區域開啟端口（允許該端口的流量）

[root@localhost ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@localhost ~]#
    
命令含義：
–zone #指定區域
–add-port=80/tcp #添加端口，格式為：<端口號/協議>
–permanent #永久生效，沒有此參數重啟后失效

非永久生效的端口
[root@localhost ~]# firewall-cmd --zone=public --add-port=3002/tcp 
success
重新載入配置，需要執行此命令
[root@localhost ~]# firewall-cmd --reload 

查看開放的端口時，需要區分是否為永久生效
[root@localhost ~]# firewall-cmd --permanent --list-port  加上 -- permanent ，可以列出永久開放的端口
80/tcp 
重新載入配置，需要執行此命令
[root@localhost ~]# firewall-cmd --reload

[root@localhost ~]# firewall-cmd --list-port  未加 --permanent ， 列出非永久開放的端口
3002/tcp

[root@localhost ~]# firewall-cmd --permanent --zone=public --list-ports 查看開放端口時，也可以指定區域 --zone
80/tcp 
[root@localhost ~]#

需要注意的是，添加或刪除端口后，需要重啟防火牆!!!但是每次加完端口后，加入這個下面這個命令，重新載入配置，就不用重啟：
[root@localhost ~]# firewall-cmd --reload

5.關閉防火牆

[root@localhost ~]# systemctl stop firewalld.service

 

6.其他命令

安裝firewalld：yum install firewalld

1、firewalld的基本使用

啟動： systemctl start firewalld

查看狀態： systemctl status firewalld 

禁用，禁止開機啟動： systemctl disable firewalld

停止運行： systemctl stop firewalld

 

 

2.配置firewalld-cmd

查看版本： firewall-cmd --version

查看幫助： firewall-cmd --help

顯示狀態： firewall-cmd --state

查看所有打開的端口： firewall-cmd --zone=public --list-ports

更新防火牆規則： firewall-cmd --reload

更新防火牆規則，重啟服務： firewall-cmd --completely-reload

查看已激活的Zone信息:  firewall-cmd --get-active-zones

查看指定接口所屬區域： firewall-cmd --get-zone-of-interface=eth0

拒絕所有包：firewall-cmd --panic-on

取消拒絕狀態： firewall-cmd --panic-off

查看是否拒絕： firewall-cmd --query-panic

 

3.信任級別，通過Zone的值指定

drop: 丟棄所有進入的包，而不給出任何響應 
block: 拒絕所有外部發起的連接，允許內部發起的連接 
public: 允許指定的進入連接 
external: 同上，對偽裝的進入連接，一般用於路由轉發 
dmz: 允許受限制的進入連接 
work: 允許受信任的計算機被限制的進入連接，類似 workgroup 
home: 同上，類似 homegroup 
internal: 同上，范圍針對所有互聯網用戶 
trusted: 信任所有連接

4.firewall開啟和關閉端口

 
           
           以下都是指在public的zone下的操作，不同的Zone只要改變Zone后面的值就可以 
           
           
           添加： 
           
          
            firewall-cmd  
           --zone=public --add-port=80/tcp --permanent    （--permanent永久生效，沒有此參數重啟后失效） 
           
           
           重新載入： 
           
           
           firewall-cmd --reload 
           
           
           查看： 
           
           
           firewall-cmd --zone=public --query-port=80/tcp 
           
           
           刪除： 
           
          
            firewall-cmd  
           --zone=public --remove-port=80/tcp --permanent 
           
          
              
           
           
           5.管理服務 
            
             
             以smtp服務為例， 添加到work zone 
             
             
             添加： 
             
            
              firewall-cmd  
             --zone=work --add-service=smtp 
             
             
             查看： 
             
             
             firewall-cmd --zone=work --query-service=smtp
 
             
             
             刪除： 
             
            
              firewall-cmd  
             --zone=work --remove-service=smtp