CentOS7 防火墙（firewall）的操作命令（转载）(4)

本文主要是介绍CentOS7 防火墙（firewall）的操作命令（转载）(4)，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

1 firewalld的基本使用

启动： systemctl start firewalld 查看状态： systemctl status firewalld  禁用，禁止开机启动： systemctl disable firewalld 停止运行： systemctl stop firewalld

2 配置firewalld-cmd

查看版本： firewall-cmd --version 查看帮助： firewall-cmd --help 显示状态： firewall-cmd --state 查看所有打开的端口： firewall-cmd --zone=public --list-ports 更新防火墙规则： firewall-cmd --reload 更新防火墙规则，重启服务： firewall-cmd --completely-reload 查看已激活的Zone信息:  firewall-cmd --get-active-zones 查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0 拒绝所有包：firewall-cmd --panic-on 取消拒绝状态： firewall-cmd --panic-off 查看是否拒绝： firewall-cmd --query-panic 这三个命令别轻易使用 尤其是第一个命令

3 信任级别，通过Zone的值指定

drop: 丢弃所有进入的包，而不给出任何响应 
block: 拒绝所有外部发起的连接，允许内部发起的连接 
public: 允许指定的进入连接 
external: 同上，对伪装的进入连接，一般用于路由转发 
dmz: 允许受限制的进入连接 
work: 允许受信任的计算机被限制的进入连接，类似 workgroup 
home: 同上，类似 homegroup 
internal: 同上，范围针对所有互联网用户 
trusted: 信任所有连接

4 firewall开启和关闭端口

添加： firewall-cmd --zone=public --add-port=80/tcp --permanent    （--permanent永久生效，没有此参数重启后失效） 重新载入： firewall-cmd --reload 查看： firewall-cmd --zone=public --query-port=80/tcp 删除： firewall-cmd --zone=public --remove-port=80/tcp --permanent

5 管理服务

以smtp服务为例， 添加到work zone 添加： firewall-cmd --zone=work --add-service=smtp 查看： firewall-cmd --zone=work --query-service=smtp
删除： firewall-cmd --zone=work --remove-service=smtp

6 配置 IP 地址伪装

查看： firewall-cmd --zone=external --query-masquerade 打开： firewall-cmd --zone=external --add-masquerade 关闭： firewall-cmd --zone=external --remove-masquerade

端口转发

第一步很关键:firewall-cmd --add-masquerade --permanent 开启端口转发

案例

如果需要将本地的85端口转发至后端8080端口（这里就需要打开本地的85端口 8080端口）

firewall-cmd --permanent --zone=public --add-forward-port=port=85:proto=tcp:toport=8080

如果需要将本地的90端口转发至后端192.168.64.131机器的8090端口（这里需要打开本地的90端口 和192.168.64.131机器上8090端口 （或者关闭192.168.64.131防火墙））

firewall-cmd --add-forward-port=port=90:proto=tcp:toport=8080:toaddr=192.168.64.131 --permanent

 

firewall-cmd --reload  重新加载防火墙

firewall-cmd --list-all 查看防火墙规则（本地机器192.168.64.130）

[root@docker-130 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 80/tcp 22/tcp 85/tcp 90/tcp 8080/tcp
  protocols: 
  masquerade: yes
  forward-ports: 
        port=80:proto=tcp:toport=8080:toaddr=
        port=85:proto=tcp:toport=8080:toaddr=
        port=90:proto=tcp:toport=8090:toaddr=192.168.64.131
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@docker-130 ~]# 

netstat -antl 查看监听的端口号是否存在

vim /etc/sysctl.conf 编辑配置文件开启转发

net.ipv4.ip_forward = 1

这里就是修改httpd服务的端口号反复测试 我就只放出一个实验效果图

192.168.64.131机器的8090效果图

如果需要将本地（本地机器192.168.64.130）的90端口转发至后端192.168.64.131机器的8090端口 效果图

参考链接:

https://www.cnblogs.com/leoxuan/p/8275343.html
https://www.cnblogs.com/caidingyu/p/12075169.html

这篇关于CentOS7 防火墙（firewall）的操作命令（转载）(4)的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！