使用 Firewalld 管理防火墙

返回首页 - Notes - 2017

使用 Firewalld 管理防火墙

安装

CentOS 7 自带了

Ubuntu 下需要自己安装：sudo apt install firewalld

介绍

Firewalld 是用 Python 编写的一个 iptables 封装工具，用于简化对 iptables 规则的管理

Firewalld 分两个配置集：运行时 和 持久化

默认情况下，firewalld-cmd 命令适用于运行时配置，而附加 --permanent 参数时将变成持久化配置

常用命令

检查防火墙的状态：sudo firewall-cmd --state
添加规则到运行时配置示例：sudo firewall-cmd --zone=public --add-service=http
添加规则到持久化配置示例：sudo firewall-cmd --zone=public --add-service=http --permanent
清除全部运行时配置，并重新加载持久化配置：sudo firewall-cmd --reload
查看默认区域：sudo firewall-cmd --get-default-zone
查看特定区域的全部配置：sudo firewall-cmd --zone=public --list-all
查看全部区域的全部配置：sudo firewall-cmd --list-all-zones
查看全部可用的服务：sudo firewall-cmd --get-services

设置示例

启用 HTTP 服务示例：sudo firewall-cmd --zone=public --add-service=http --permanent
禁用 HTTP 服务示例：sudo firewall-cmd --zone=public --remove-service=http --permanent

允许 80 端口的 TCP 流量示例：sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
禁用 80 端口的 TCP 流量示例：sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent

将 80 端口的 TCP 流量转发到同一服务器的 9999 端口示例：sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=9999
取消转发：sudo firewall-cmd --zone=public --remove-forward-port=port=80:proto=tcp:toport=9999

将 80 端口的 TCP 流量转发到另一台服务器的 9999 端口示例：

sudo firewall-cmd --zone=public --add-masquerade
sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=9999:toaddr=123.456.78.9

取消转发：

sudo firewall-cmd --zone=public --remove-masquerade
sudo firewall-cmd --zone=public --remove-forward-port=port=80:proto=tcp:toport=9999:toaddr=123.456.78.9

date：2017-05-25