firewalld

firewalld中常用的区域名称及策略规则

trusted：允许所有的数据包进出
home：拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许进入
Internal：等同于home区域
work：拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许进入
public：拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许进入
external：    拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh服务相关，则允许进入
dmz：拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh服务相关，则允许进入
block：拒绝进入的流量，除非与出去的流量相关
drop：拒绝进入的流量，除非与出去的流量相关

重新加载防火墙配置

firewall-cmd --reload

查看firewalld的运行状态

firewall-cmd --state

查看默认当前使用的区域

firewall-cmd --get-default-zone

查看系统默认活动区域名称、来源地址和关联的网卡

firewall-cmd --get-active-zones

查看所有可用区域

firewall-cmd --get-zones

Target：目标
icmp-block-inversion：ICMP协议类型黑白名单开关（yes/no）
Interfaces：关联的网卡接口
sources：来源，可以是IP地址，也可以是mac地址
services：允许的服务
ports：允许的目标端口，即本地开放的端口
protocols：允许通过的协议
masquerade：是否允许伪装（yes/no），可改写来源IP地址及mac地址
forward-ports：允许转发的端口
source-ports：允许的来源端口
icmp-blocks：可添加ICMP类型，当icmp-block-inversion为no时，这些ICMP类型被拒绝；当icmp-block-inversion为yes时，这些ICMP类型被允许。
rich rules：富规则，即更细致、更详细的防火墙规则策略，它的优先级在所有的防火墙策略中也是最高的。

查看区域的所有设置

firewall-cmd --zone=internal --list-all   # 查看指定区域设置
firewall-cmd --list-all   # 查看默认区域设置
firewall-cmd --list-all-zones  #查看所有区域的设置

把firewalld的当前默认区域设置为drop，此为永久设置

firewall-cmd --set-default-zone=drop

 

一、firewall对指定IP开放所有端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.72" accept"

二、firewall对指定IP开放指定端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.72" port protocol="tcp" port="2181" accept"

三、firewall移除指定IP开放指定端口

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.72" port protocol="tcp" port="9988" accept"

四、firewall允许任何IP开放指定端口

firewall-cmd --zone=drop --add-port=22/tcp --permanent  #permanent永久生效，没有此参数重启后失效

firewall-cmd --zone=drop --remove-port=22/tcp --permanent