Firewall-cmd 常用命令

查看已经开放的端口:

firewall-cmd --list-all

开启端口

firewall-cmd --zone=public --permanent --add-port=80/tcp 

命令含义:
–-zone 作用域

–-add-port=80/tcp #添加端口,格式为:端口/通讯协议

–-permanent #永久生效,没有此参数重启后失效

# 查看firewall 支持的控制的所有服务
firewall-cmd --get-services   

# 禁用某个IP访问服务器  
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="10.10.16.2" drop'

# 禁用一个IP段
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="10.10.16.0/24" drop'

# 删除之前添加的规则(禁用某个IP访问服务器)
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="10.10.16.2" drop'

# 通过服务名称定义规则-添加
firewall-cmd --permanent --add-service=http

# 通过服务名称定义规则-移除
firewall-cmd --permanent --remove-service=http

# 通过端口定义规则-允许端口:80
firewall-cmd --permanent --add-port=80/tcp

# 通过端口定义规则-允许端口:1-80
firewall-cmd --permanent --add-port=1-80/tcp

# 通过端口定义规则-移除放行中端口:80 
firewall-cmd --permanent --remove-port=80/tcp

# 指定IP授权访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.16.2" port protocol="tcp" port="22" accept"
# 拒绝(指定IP授权访问)
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.16.2" port protocol="tcp" port="22" drop"
# 移除(指定IP授权访问)
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="10.10.16.2" port protocol="tcp" port="22" accept"

注意: 每次修改后记得要 firewall-cmd --reload 重新加载一下

参考文献1
参考文献2

comments powered by Disqus