firewall-cmd常用命令

firewalld zone 说明

1
2
3
4
5
6
7
8
9
10
* 定义的9个区域
## trusted(信任区域)∶ 允许所有的传入流量。
## public(公共区域)∶ 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
## external (外部区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPy4传出流量将进行地址伪装, 可用于为路由器启用了伪装功能的外部网络。
## home (家庭区域)∶ 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
## internal (内部区域)∶ 默认值时与home区域相同。
## work (工作区域)∶ 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
## dmz (隔离区域也称为非军事区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
## block(限制区域)∶拒绝所有传入流量。
## drop(丢弃区域)∶ 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。
  • 显示当前默认区域

    1
    2
    firewall-cmd --get-default-zone
    public
  • 设置默认区域

    1
    firewall-cmd --set-default-zone=home
  • 显示当前正在使用的区域及其对应的网卡接口

    1
    2
    3
    firewall-cmd --get-active-zones
    public
    interfaces: ens33
  • 显示所有可用的区域

    1
    2
    firewall-cmd --get-zones
    block dmz drop external home internal public trusted work
  • 查看现在开放了那些服务

    1
    2
    firewall-cmd --list-services
    dhcpv6-client ssh
  • 移除ssh服务

    1
    firewall-cmd --permanent --zone=public --remove-service=ssh && firewall-cmd --reload
  • 添加192.168.95.100访问22002端口

    1
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.95.100" port protocol="tcp" port="22002" accept' && firewall-cmd --reload
  • 禁止192.168.95.100访问18080端口

    1
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.95.100" port protocol="tcp" port="18080" reject' && firewall-cmd --reload
  • 允许指定IP段访问本机18080-18090端口

    1
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.95.0/24" port protocol="tcp" port="18080-18090" accept' && firewall-cmd --reload
  • 禁止指定IP段访问本机18080-18090端口

    1
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.95.0/24" port protocol="tcp" port="18080-18090" reject' && firewall-cmd --reload