CentOS7 Firewall 常用命令

Firewall介绍

防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。

Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接

Firewall的使用

systemctl start firewalld.service         # 启动,
systemctl enable firewalld.service        # 开机启动
systemctl stop firewalld.service          # 关闭
systemctl disable firewalld.service       # 取消开机启动

Firewall开放、关闭端口

--permanent表示设置为持久开放端口，重启后还是生效的 不加开放临时端口，重启失效
firewall-cmd --zone=public --add-port=8080/tcp --permanent      #开放持久TCP 8080 端口
firewall-cmd --zone=public --add-port=8080/udp --permanent      #开放持久UDP 8080 端口
firewall-cmd --zome=public --add-port=8000-9000/udp --permanent #开放持久UDP 8000-9000 端口
firewall-cmd --zone=public --remove-port=8080/tcp --permanent   #关闭持久TCP 8080 端口
firewall-cmd --zone=public --remove-port=8080/udp --permanent   #关闭TCP 8080 端口
firewall-cmd --reload      #重新载入配置 添加规则之后 需要执行此命令使之生效
firewall-cmd --list-all    #查看防火墙规则，可查到你当前开放的端口信息

开放服务，ftp服务=端口21 http=80

firewall-cmd --get-services                   ##列出支持的服务
firewall-cmd --add-service=ftp --permanent    ##持久开放ftp服务
firewall-cmd --remove-service=ftp --permanent ##移除ftp服务
firewall-cmd --reload      #重新载入配置 添加规则之后 需要执行此命令使之生效