firewall-cmd命令手册命令名称: firewall-cmd
功能描述: firewall-cmd是一个更语义化的iptables管理工具
firewall-cmd命令以及iptables命令相对其它命令而言很复杂,中文常用选项以后慢慢整理,在此给出一些示例,参照这些示例也能配置出简单的防火墙规则。
如果没有firewall-cmd命令请先安装firewall-cmd:
[root@linux-man.cn ~]#yum install firewalld firewall-config
开机禁用防火墙:
[root@linux-man.cn ~]#systemctl disable firewalld
开机启用防火墙:
[root@linux-man.cn ~]#systemctl enabled firewalld
启动防火墙:
[root@linux-man.cn ~]#systemctl start firewalld
关闭防火墙:
[root@linux-man.cn ~]#systemctl stop firewalld
重启防火墙:
[root@linux-man.cn ~]#systemctl restart firewalld
在不断开用户连接的情况下加载防火墙配置(推荐):
[root@linux-man.cn ~]#firewall-cmd --reload
查看防火墙运行状态:
[root@linux-man.cn ~]#systemctl status firewalld
查看防火墙规则:
[root@linux-man.cn ~]#firewall-cmd --list-all
永久允许访问本机tcp协议的80端口:
[root@linux-man.cn ~]#firewall-cmd --add-port=80/tcp --permanent
永久删除tcp协议的80端口对本机的访问:
[root@linux-man.cn ~]#firewall-cmd --remove-port=80/tcp --permanent
允许192.168.1.10访问本机的8080端口:
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.10' port protocol='tcp' port='8080' accept"
删除192.168.1.10允许本机8080端口的访问:
firewall-cmd --permanent --zone=public --remove-rich-rule="rule family='ipv4' source address='192.168.1.10' port protocol='tcp' port='8080' accept"
拒绝192.168.1.10访问本机的8080端口:
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.10' port protocol='tcp' port='8080' drop"
关于firewall-cmd命令更多内容请参考红帽企业版rhel7安全指南4.5节:
下载地址:https://pan.baidu.com/s/1pK8PaVh
提取密码:d2qt