Centos7 防火墙firewall

CentOS 7.0默认使用的是firewall作为防火墙

当前Linux版本信息：

[root@VM-0-12-centos bin]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core) 

基础命令：

# 启动
systemctl start firewalld.service
# 停止
systemctl stop firewalld.service
# 禁止开机启动
systemctl disable firewalld
# 查看状态
systemctl status firewalld

firewalld-cmd：

# 查看版本
firewall-cmd --version
# 查看帮助
firewall-cmd --help
# 显示状态
firewall-cmd --state
# 查看已开放的端口
firewall-cmd --zone=public --list-ports
# 更新防火墙规则
firewall-cmd --reload
# 更新防火墙规则，并重启服务
firewall-cmd --complete-reload
# 查看已激活的Zone
firewall-cmd --get-active-zones
# 查看指定接口所属区域
firewall-cmd --get-zone-of-interface=eth0
# 拒绝所有包
firewall-cmd --panic-on
# 取消拒绝状态
firewall-cmd --panic-off
# 查看是否拒绝
firewall-cmd --query-panic

信任级别，通过Zone的值指定

• drop: 丢弃所有进入的包，而不给出任何响应
• block: 拒绝所有外部发起的连接，允许内部发起的连接
• public: 允许指定的进入连接
• external: 同上，对伪装的进入连接，一般用于路由转发
• dmz: 允许受限制的进入连接
• work: 允许受信任的计算机被限制的进入连接，类似 workgroup
• home: 同上，类似 homegroup
• internal: 同上，范围针对所有互联网用户
• trusted: 信任所有连接

firewall开启和关闭端口

# 开放端口 --permanent永久生效，没有此参数重启后失效
firewall-cmd --zone=public --add-port=6379/tcp --permanent
# 重新载入
firewall-cmd --reload
# 查看端口是否开放
firewall-cmd --zone=public --query-port=6379/tcp
# 关闭端口
firewall-cmd --zone=public --remove-port=6379/tcp --permanent

管理服务
以smtp服务为例， 添加到work zone

# 添加
firewall-cmd --zone=work --add-service=smtp
# 查看
firewall-cmd --zone=work --query-service=smtp
# 删除
firewall-cmd --zone=work --remove-service=smtp

配置 IP 地址伪装

# 查看
firewall-cmd --zone=external --query-masquerade
# 打开
firewall-cmd --zone=external --add-masquerade
# 关闭
firewall-cmd --zone=external --remove-masquerade

端口转发
打开端口转发，首先需要打开IP地址伪装
firewall-cmd --zone=external --add-masquerade

# 转发 tcp 22 端口至 3753：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
# 转发端口数据至另一个IP的相同端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
# 转发端口数据至另一个IP的 3753 端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112