1、firewalld的基本使用
启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld
开机禁用 : systemctl disable firewalld
开机启用 : systemctl enable firewalld
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl
start firewalld.service
关闭一个服务:systemctl
stop firewalld.service
重启一个服务:systemctl
restart firewalld.service
显示一个服务的状态:systemctl
status firewalld.service
在开机时启用一个服务:systemctl
enable firewalld.service
在开机时禁用一个服务:systemctl
disable firewalld.service
查看服务是否开机启动:systemctl
is-enabled firewalld.service
查看已启动的服务列表:systemctl
list-unit-files|grep enabled
查看启动失败的服务列表:systemctl
--failed
3.配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
那怎么开启一个端口呢
添加
firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone= public --query-port=80/tcp
删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent
1.打开端口的步骤:
查看防火墙状态
firewall-cmd
--state
2.打开防火墙
重启服务则会断开tcp会话。
systemctl
restart firewalld
firewall-cmd --reload
建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话
3.查看已经打开的端口
firewall-cmd
--list-ports
4.打开443或80端口
firewall-cmd
--add-port=443/tcp 开放通过tcp访问443
firewall-cmd
--add-port=80/tcp
开放通过tcp访问80
5.80端口转发到8080(tomcat的默认端口为8080),443转发到8443(https配置的端口为8443)
firewall-cmd
--add-forward-port=port=80:proto=tcp:toport=8080
firewall-cmd
--add-forward-port=port=443:proto=tcp:toport=8443
6.开放阿里云平台上的配置安全组规则开放相应的端口
常用的防火墙命令
打开某端口
firewall-cmd
--zone=public(作用域)
--add-port=80/tcp(端口和访问类型)
--permanent(永久生效)
查看防火墙状态
firewall-cmd
--state
开启防火墙
systemctl
start firewalld.service
关闭防火墙
systemctl
stop firewalld.service
禁止开机启动启动防火墙
systemctl
disable firewalld.service
检查是否允许伪装IP
firewall-cmd
--query-masquerade
允许防火墙伪装IP
firewall-cmd
--add-masquerade
禁止防火墙伪装IP
firewall-cmd
--remove-masquerade
开放mysql端口
firewall-cmd
--add-service=mysql
阻止http端口
firewall-cmd
--remove-service=http
查看开放的服务
firewall-cmd
--list-services
开放通过tcp访问3306
firewall-cmd
--add-port=3306/tcp
阻止通过tcp访问3306
firewall-cmd
--remove-port=80tcp
开放通过udp访问233
firewall-cmd
--add-port=233/udp
查看开放的端口
firewall-cmd
--list-ports
将80端口的流量转发至8080
firewall-cmd
--add-forward-port=port=80:proto=tcp:toport=8080
将80端口的流量转发至
firewall-cmd
--add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1
将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd
--add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080
监听端口
netstat
-an |grep 443
400-1513-886
