Fedora防火墙配置

简介：

Fedora 18以及之后的版本，防火墙的管理不再基于iptables，而基于firewall的东西。
firewall的功能相对复杂一些，可以控制服务，控制端口，设置安全区域，设置端口转发等功能。所以使用上更为复杂。

一：服务级

这个就是开关防火墙，总开关，临时测试可以用一下，记得重新打开。

1.停止

systemctl stop firewalld.service

2.开始

systemctl start firewalld.service

3.重启

systemctl restart firewalld.service

4.检查

firewall-cmd --state

返回结果：running（开启） not running（关闭）

5.重新载入配置

firewall-cmd --reload

在不改变防火墙状态的同时，重新载入配置，一般就是改了防火墙规则，需要重新载入一下配置

二：端口级

1.打开

firewall-cmd --add-port=8080/tcp

2.关闭

firewall-cmd --remove-port=8080/tcp

3、常用命令

获取 firewalld 状态

 firewall-cmd --state

此举返回 firewalld 的状态，没有任何输出。可以使用以下方式获得状态输出：

 firewall-cmd --state && echo "Running" || echo "Not running"

在 Fedora 19 中, 状态输出比此前直观:

 # rpm -qf $( which firewall-cmd )

 firewalld-0.3.3-2.fc19.noarch

 # firewall-cmd --state

 not running

在不改变状态的条件下重新加载防火墙：

 firewall-cmd --reload

如果你使用 --complete-reload ，状态信息将会丢失。这个选项应当仅用于处理防火墙问题时，例如，状态信息和防火墙规则都正常，但是不能建立任何连接的情况。

获取支持的区域列表

 firewall-cmd --get-zones

这条命令输出用空格分隔的列表。

获取所有支持的服务

 firewall-cmd --get-services

这条命令输出用空格分隔的列表。

获取所有支持的ICMP类型

 firewall-cmd --get-icmptypes

这条命令输出用空格分隔的列表。

列出全部启用的区域的特性

 firewall-cmd --list-all-zones

输出格式是：

 <zone>

   interfaces: <interface1> ..

   services: <service1> ..

   ports: <port1> ..

   forward-ports: <forward port1> ..

   icmp-blocks: <icmp type1> ..

   ..

输出区域 <zone> 全部启用的特性。如果生略区域，将显示默认区域的信息。

 firewall-cmd [--zone=<zone>] --list-all

获取默认区域的网络设置

 firewall-cmd --get-default-zone

设置默认区域

 firewall-cmd --set-default-zone=<zone>

流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。

获取活动的区域

 firewall-cmd --get-active-zones

这条命令将用以下格式输出每个区域所含接口：

 <zone1>: <interface1> <interface2> ..

 <zone2>: <interface3> ..

根据接口获取区域

 firewall-cmd --get-zone-of-interface=<interface>

这条命令将输出接口所属的区域名称。

将接口增加到区域

 firewall-cmd [--zone=<zone>] --add-interface=<interface>

如果接口不属于区域，接口将被增加到区域。如果区域被省略了，将使用默认区域。接口在重新加载后将重新应用。

修改接口所属区域

 firewall-cmd [--zone=<zone>] --change-interface=<interface>

这个选项与 --add-interface 选项相似，但是当接口已经存在于另一个区域的时候，该接口将被添加到新的区域。

从区域中删除一个接口

 firewall-cmd [--zone=<zone>] --remove-interface=<interface>

查询区域中是否包含某接口

 firewall-cmd [--zone=<zone>] --query-interface=<interface>

返回接口是否存在于该区域。没有输出。

列举区域中启用的服务

 firewall-cmd [ --zone=<zone> ] --list-services

启用应急模式阻断所有网络连接，以防出现紧急状况

 firewall-cmd --panic-on

禁用应急模式

 firewall-cmd --panic-off

应急模式在 0.3.0 版本中发生了变化
在 0.3.0 之前的 FirewallD版本中, panic 选项是 --enable-panic 与 --disable-panic.

查询应急模式

 firewall-cmd --query-panic

此命令返回应急模式的状态，没有输出。可以使用以下方式获得状态输出：

 firewall-cmd --query-panic && echo "On" || echo "Off"

处理运行时区域

运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。

启用区域中的一种服务

 firewall-cmd [--zone=<zone>] --add-service=<service> [--timeout=<seconds>]

此举启用区域中的一种服务。如果未指定区域，将使用默认区域。如果设定了超时时间，服务将只启用特定秒数。如果服务已经活跃，将不会有任何警告信息。

例: 使区域中的 ipp-client 服务生效60秒:

 firewall-cmd --zone=home --add-service=ipp-client --timeout=60

例: 启用默认区域中的http服务:

 firewall-cmd --add-service=http

禁用区域中的某种服务

 firewall-cmd [--zone=<zone>] --remove-service=<service>

此举禁用区域中的某种服务。如果未指定区域，将使用默认区域。

例: 禁止 home 区域中的 http 服务:

 firewall-cmd --zone=home --remove-service=http

区域种的服务将被禁用。如果服务没有启用，将不会有任何警告信息。

查询区域中是否启用了特定服务

 firewall-cmd [--zone=<zone>] --query-service=<service>

如果服务启用，将返回1,否则返回0。没有输出信息。

启用区域端口和协议组合

 firewall-cmd [--zone=<zone>] --add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]

此举将启用端口和协议的组合。端口可以是一个单独的端口 <port> 或者是一个端口范围 <port>-<port> 。协议可以是 tcp 或 udp。

禁用端口和协议组合

 firewall-cmd [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>

查询区域中是否启用了端口和协议组合

 firewall-cmd [--zone=<zone>] --query-port=<port>[-<port>]/<protocol>

如果启用，此命令将有返回值。没有输出信息。

启用区域中的 IP 伪装功能

 firewall-cmd [--zone=<zone>] --add-masquerade

此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。

禁用区域中的 IP 伪装

 firewall-cmd [--zone=<zone>] --remove-masquerade

查询区域的伪装状态

 firewall-cmd [--zone=<zone>] --query-masquerade

如果启用，此命令将有返回值。没有输出信息。

启用区域的 ICMP 阻塞功能

 firewall-cmd [--zone=<zone>] --add-icmp-block=<icmptype>

此举将启用选中的 Internet 控制报文协议（ICMP）报文进行阻塞。 ICMP 报文可以是请求信息或者创建的应答报文，以及错误应答。

禁止区域的 ICMP 阻塞功能

 firewall-cmd [--zone=<zone>] --remove-icmp-block=<icmptype>

查询区域的 ICMP 阻塞功能

 firewall-cmd [--zone=<zone>] --query-icmp-block=<icmptype>

如果启用，此命令将有返回值。没有输出信息。

例: 阻塞区域的响应应答报文:

 firewall-cmd --zone=public --add-icmp-block=echo-reply

在区域中启用端口转发或映射

 firewall-cmd [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

端口可以映射到另一台主机的同一端口，也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口 <port> 或者是端口范围 <port>-<port> 。协议可以为 tcp 或udp 。目标端口可以是端口号 <port> 或者是端口范围 <port>-<port> 。目标地址可以是 IPv4 地址。受内核限制，端口转发功能仅可用于IPv4。

禁止区域的端口转发或者端口映射

 firewall-cmd [--zone=<zone>] --remove-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

查询区域的端口转发或者端口映射

 firewall-cmd [--zone=<zone>] --query-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

如果启用，此命令将有返回值。没有输出信息。

例: 将区域 home 的 ssh 转发到 127.0.0.2

 firewall-cmd --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2

处理永久区域

永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置，需要分别设置两者。选项 --permanent 需要是永久设置的第一个参数。

获取永久选项所支持的服务

 firewall-cmd --permanent --get-services

获取永久选项所支持的ICMP类型列表

 firewall-cmd --permanent --get-icmptypes

获取支持的永久区域

 firewall-cmd --permanent --get-zones

启用区域中的服务

 firewall-cmd --permanent [--zone=<zone>] --add-service=<service>

此举将永久启用区域中的服务。如果未指定区域，将使用默认区域。

禁用区域中的一种服务

 firewall-cmd --permanent [--zone=<zone>] --remove-service=<service>

查询区域中的服务是否启用

 firewall-cmd --permanent [--zone=<zone>] --query-service=<service>

如果服务启用，此命令将有返回值。此命令没有输出信息。

例: 永久启用 home 区域中的 ipp-client 服务

 firewall-cmd --permanent --zone=home --add-service=ipp-client

永久启用区域中的一个端口-协议组合

 firewall-cmd --permanent [--zone=<zone>] --add-port=<port>[-<port>]/<protocol>

永久禁用区域中的一个端口-协议组合

 firewall-cmd --permanent [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>

查询区域中的端口-协议组合是否永久启用

 firewall-cmd --permanent [--zone=<zone>] --query-port=<port>[-<port>]/<protocol>

如果服务启用，此命令将有返回值。此命令没有输出信息。

例: 永久启用 home 区域中的 https (tcp 443) 端口

 firewall-cmd --permanent --zone=home --add-port=443/tcp

永久启用区域中的伪装

 firewall-cmd --permanent [--zone=<zone>] --add-masquerade

永久禁用区域中的伪装

 firewall-cmd --permanent [--zone=<zone>] --remove-masquerade

查询区域中的伪装的永久状态

 firewall-cmd --permanent [--zone=<zone>] --query-masquerade

如果服务启用，此命令将有返回值。此命令没有输出信息。

永久启用区域中的ICMP阻塞

 firewall-cmd --permanent [--zone=<zone>] --add-icmp-block=<icmptype>

此举将启用选中的 Internet 控制报文协议（ICMP）报文进行阻塞。 ICMP 报文可以是请求信息或者创建的应答报文或错误应答报文。

永久禁用区域中的ICMP阻塞

 firewall-cmd --permanent [--zone=<zone>] --remove-icmp-block=<icmptype>

查询区域中的ICMP永久状态

 firewall-cmd --permanent [--zone=<zone>] --query-icmp-block=<icmptype>

如果服务启用，此命令将有返回值。此命令没有输出信息。

例: 阻塞公共区域中的响应应答报文:

 firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply

在区域中永久启用端口转发或映射

 firewall-cmd --permanent [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

永久禁止区域的端口转发或者端口映射

 firewall-cmd --permanent [--zone=<zone>] --remove-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

查询区域的端口转发或者端口映射状态

 firewall-cmd --permanent [--zone=<zone>] --query-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }

如果服务启用，此命令将有返回值。此命令没有输出信息。

例: 将 home 区域的 ssh 服务转发到 127.0.0.2

 firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2