firewalld zone 说明
Public(公共):
此区域适用于公共网络,例如互联网。
默认情况下,不信任的流量通常被阻止。
External(外部):
此区域适用于外部网络,例如在连接到互联网的服务器上的网络接口。
类似于 Public 区域,但是可以区分外部和内部信任的网络流量。
Internal(内部):
此区域适用于内部网络,例如局域网。
允许较多的流量通过,通常被信任的流量不会被阻止。
DMZ(非信任区域):
此区域适用于放置公共服务器的网络区域。
允许一些服务通过,但通常比 Internal 区域更严格。
Work(工作):
此区域适用于工作环境中的网络,例如企业内部网络。
允许更多类型的流量通过,通常被信任的流量不会被阻止。
Home(家庭):
此区域适用于家庭网络。
允许较多的流量通过,通常被信任的流量不会被阻止。
Trusted(受信任):
此区域信任所有流量,不进行任何过滤。
Block(阻止):
此区域拒绝所有流量。
firewall-cmd 常用参数
--add-service=<service>:添加一个服务到防火墙规则中。<service> 是要添加的服务的名称。
--remove-service=<service>:从防火墙规则中移除指定的服务。<service> 是要移除的服务的名称。
--add-port=<port>/tcp:添加一个 TCP 端口到防火墙规则中。<port> 是要添加的端口号。
--add-port=<port>/udp:添加一个 UDP 端口到防火墙规则中。<port> 是要添加的端口号。
--remove-port=<port>/tcp:从防火墙规则中移除指定的 TCP 端口。<port> 是要移除的端口号。
--remove-port=<port>/udp:从防火墙规则中移除指定的 UDP 端口。<port> 是要移除的端口号。
--zone=<zone>:指定要操作的防火墙区域。<zone> 是防火墙的区域名称。
--list-all:列出当前防火墙的所有规则。
--reload:重新加载防火墙规则,使更改生效。
--permanent:将规则永久性地保存在防火墙配置中。
--query-service=<service>:检查指定服务是否在防火墙规则中。
--get-services:获取所有可用的服务列表。
--panic-on:将防火墙设置为 Panic 模式,即阻止所有网络流量。
--panic-off:禁用 Panic 模式,允许网络流量通过防火墙。
--get-active-zones:它将列出系统上所有活动的网络接口及其所属的区域。
--get-zone-of-interface=<interface>:它将返回指定接口所属的防火墙区域的名称。例如 eth0。
firewall-cmd 常用命令
添加允许某个端口的流量到特定区域
firewall-cmd --zone=public --add-port=80/tcp --permanent
移除某个端口的流量规则
firewall-cmd --zone=public --remove-port=80/tcp --permanent
添加允许某个服务的流量到特定区域
firewall-cmd --zone=public --add-service=http --permanent
移除某个服务
firewall-cmd --permanent --zone=public --remove-service=ssh
查看当前区域的所有规则
firewall-cmd --zone=public --list-all
重新加载防火墙规则
查看所有打开的端口
firewall-cmd --zone=public --list-ports
direct
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -j ACCEPT
这条命令告诉firewalld在INPUT链的顶部(0)添加一个允许TCP端口22的规则(SSH连接),并将其设置为接受(ACCEPT)。
端口转发
# 这个命令将在防火墙上创建一个源 NAT 转发规则,将来自本机的 TCP 流量的 8080 端口转发到内部主机的 192.168.1.100 地址的 80 端口。
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100
# 这个命令将在防火墙上创建一个端口转发规则,将 TCP 流量的 8080 端口转发到内部主机的 192.168.1.100 地址的 80 端口。这使得外部用户可以通过访问防火墙上的 8080 端口来访问内部网络的 Web 服务。
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100
添加允许特定源 IP 访问的规则
# 允许具有源IP地址为192.168.1.100的IPv4流量通过防火墙。
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
添加拒绝特定端口访问的规则
# 拒绝所有IPv4 UDP流量的53端口访问。
firewall-cmd --add-rich-rule='rule family="ipv4" port protocol="udp" port="53" drop'
添加限制 ICMP 类型的规则
# 允许IPv4 ICMP 协议通过防火墙。
firewall-cmd --add-rich-rule='rule family="ipv4" protocol value="icmp" icmp-type=echo-reply accept'
添加限制特定网络接口的规则
# 拒绝所有从eth0网络接口进入的IPv4流量。
firewall-cmd --add-rich-rule='rule family="ipv4" source interface="eth0" drop'