Linux防火墙Firewall-cmd 基础

一、简介

​ firewall-cmd 是firewalld服务的一个命令行客户端，提供了对防火墙规则的增删查改。firewalld自身并不具备防火墙的功能。它和iptables一样需要通过内核netfilter来实现防火墙的功能，相对于iptables来说firewall-cmd使用起来更简单。

二、防火墙的启动停止(centos7以上)

 systemctl  status  firewalld.service  #查看防火墙状态

 systemctl start firewalld.service     #启动防火墙

 systemctl stop firewalld.service      #停止防火墙

 systemctl restart firewalld.service   #重新启动防火墙

 systemctl enable firewalld.service    #设置防火墙开机自启动

 systemctl disable firewalld.service   #禁止防火墙开机自启动

二、firewall-cmd参数介绍

1.常规参数

 -h,--help     #显示帮助文档

--version      #显示版本信息

-q,--quiet     #不打印状态信息

2. 状态参数

--state                #检查firewalld服务运行状态

--reload               #不中断服务重新加载防火墙规则

--complete-reload      #中断所有连接重新加载防火墙规则

--runtime-to-permanent #将当前防火墙的规则永久保存

--check-config         # 检查配置正确性

--get-log-denied       #获取被拒绝的日志，日志没打开则为off

 #设置记录被拒绝的日志，只能为‘all’,‘unicast’,‘broadcast’,‘multicast’,‘off’ 其中的一个；
-–set-log-denied=off   

三、firewall-cmd 使用实例

​ firewall-cmd 命令的参数实在是太多了，下面只列出了一些常用到的功能，后面如果用到了新的再来补充吧！

更详细的介绍可以看官方文档:https://firewalld.org/documentation/man-pages/firewall-cmd

1、 查看开放的端口

firewall-cmd  --list-ports

2、开放端口

#将端口添加到域 public，重启防火墙后失效
firewall-cmd  --zone=public  --add-port=3456/tcp  # tcp 可以是 {'tcp'|'udp'|'sctp'|'dccp'}中的一个

#将端口添加到域 public，想要永久生效，添加 --permanent 参数
 firewall-cmd  --zone=public  --add-port=3456/tcp --permanent

3、关闭开放的端口

 #将端口从域 public 中删除，重启防火墙后失效
 firewall-cmd  --zone=public  --remove-port=3456/tcp

 #将端口从域 public 中删除，想要永久生效，添加 --permanent 参数
 firewall-cmd  --zone=public  --remove-port=3456/tcp --permanent

4、设置域

# 设置默认接口区域，立即生效无需重启
firewall-cmd --set-default-zone=public