系统相关
首页 > 系统相关> > CentOS7 防火墙(firewall)的操作命令(转载)(4)

CentOS7 防火墙(firewall)的操作命令(转载)(4)

作者:互联网

1 firewalld的基本使用

启动: systemctl start firewalld 查看状态: systemctl status firewalld  禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld

2 配置firewalld-cmd

查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help 显示状态: firewall-cmd --state 查看所有打开的端口: firewall-cmd --zone=public --list-ports 更新防火墙规则: firewall-cmd --reload 更新防火墙规则,重启服务: firewall-cmd --completely-reload 查看已激活的Zone信息:  firewall-cmd --get-active-zones 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0 拒绝所有包:firewall-cmd --panic-on 取消拒绝状态: firewall-cmd --panic-off 查看是否拒绝: firewall-cmd --query-panic 这三个命令别轻易使用 尤其是第一个命令

3 信任级别,通过Zone的值指定

drop: 丢弃所有进入的包,而不给出任何响应 
block: 拒绝所有外部发起的连接,允许内部发起的连接 
public: 允许指定的进入连接 
external: 同上,对伪装的进入连接,一般用于路由转发 
dmz: 允许受限制的进入连接 
work: 允许受信任的计算机被限制的进入连接,类似 workgroup 
home: 同上,类似 homegroup 
internal: 同上,范围针对所有互联网用户 
trusted: 信任所有连接

4 firewall开启和关闭端口

添加: firewall-cmd --zone=public --add-port=80/tcp --permanent    (--permanent永久生效,没有此参数重启后失效) 重新载入: firewall-cmd --reload 查看: firewall-cmd --zone=public --query-port=80/tcp 删除: firewall-cmd --zone=public --remove-port=80/tcp --permanent

5 管理服务

以smtp服务为例, 添加到work zone 添加: firewall-cmd --zone=work --add-service=smtp 查看: firewall-cmd --zone=work --query-service=smtp
删除: firewall-cmd --zone=work --remove-service=smtp

6 配置 IP 地址伪装

查看: firewall-cmd --zone=external --query-masquerade 打开: firewall-cmd --zone=external --add-masquerade 关闭: firewall-cmd --zone=external --remove-masquerade

端口转发

第一步很关键:firewall-cmd --add-masquerade --permanent 开启端口转发

案例

如果需要将本地的85端口转发至后端8080端口(这里就需要打开本地的85端口 8080端口)

firewall-cmd --permanent --zone=public --add-forward-port=port=85:proto=tcp:toport=8080

如果需要将本地的90端口转发至后端192.168.64.131机器的8090端口(这里需要打开本地的90端口 和192.168.64.131机器上8090端口 (或者关闭192.168.64.131防火墙))

firewall-cmd --add-forward-port=port=90:proto=tcp:toport=8080:toaddr=192.168.64.131 --permanent

 

firewall-cmd --reload  重新加载防火墙

firewall-cmd --list-all 查看防火墙规则(本地机器192.168.64.130)

[root@docker-130 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 80/tcp 22/tcp 85/tcp 90/tcp 8080/tcp
  protocols: 
  masquerade: yes
  forward-ports: 
        port=80:proto=tcp:toport=8080:toaddr=
        port=85:proto=tcp:toport=8080:toaddr=
        port=90:proto=tcp:toport=8090:toaddr=192.168.64.131
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@docker-130 ~]#

netstat -antl 查看监听的端口号是否存在

vim /etc/sysctl.conf 编辑配置文件开启转发

net.ipv4.ip_forward = 1

这里就是修改httpd服务的端口号反复测试 我就只放出一个实验效果图

192.168.64.131机器的8090效果图

如果需要将本地(本地机器192.168.64.130)的90端口转发至后端192.168.64.131机器的8090端口 效果图

参考链接:

https://www.cnblogs.com/leoxuan/p/8275343.html
https://www.cnblogs.com/caidingyu/p/12075169.html

标签:操作命令,zone,firewall,cmd,端口,tcp,CentOS7,--
来源: https://www.cnblogs.com/tanff/p/16045423.html