firewalld常用操作

删除firewalld安装iptables
yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service


systemctl enable ip6tables.service
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

firewall-cmd –state
firewall-cmd –reload 在不改变状态的条件下重新加载防火墙:
–complete-reload ,状态信息将会丢失。

处理永久区域—这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置,需要分别设置两者。 选项 –permanent 需要是永久设置的第一个参数
列出全部启用的区域的特性
firewall-cmd –list-all-zones
输出区域 全部启用的特性。如果生略区域,将显示默认区域的信息。
firewall-cmd [–zone=] –list-all
列举区域中启用的服务
firewall-cmd [ –zone= ] –list-services
获取默认区域的网络设置
firewall-cmd –get-default-zone
设置默认区域
firewall-cmd –set-default-zone=
获取活动的区域
firewall-cmd –get-active-zones
获取永久选项所支持的服务
firewall-cmd –permanent –get-services
获取永久选项所支持的ICMP类型列表
firewall-cmd –permanent –get-icmptypes
查看支持的永久区域
firewall-cmd –permanent –get-zones
启用区域中的服务
firewall-cmd –permanent [–zone=] –add-service=
此举将永久启用区域中的服务。如果未指定区域,将使用默认区域。
禁用区域中的一种服务
firewall-cmd –permanent [–zone=] –remove-service=
查询区域中的服务是否启用
firewall-cmd –permanent [–zone=] –query-service=
永久启用区域中的一个端口-协议组合
firewall-cmd –permanent –zone=public –add-port=80/tcp
firewall-cmd –permanent –zone=public –add-port=80-100/tcp
分配给一个区域(例如公共区域)的所有接口
firewall-cmd –zone=public –list-interfaces
根据接口获取区域
firewall-cmd –get-zone-of-interface=
将接口增加到区域
firewall-cmd –zone=public –add-interface=
修改接口所属区域
firewall-cmd [–zone=] –change-interface=
这个选项与 –add-interface 选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。
从区域中删除一个接口
firewall-cmd [–zone=] –remove-interface=
查询区域中是否包含某接口
firewall-cmd [–zone=] –query-interface=

查看rich rule
firewall-cmd –list-rich-rules

rich rule
firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=”ipv4″ source address=”172.16.101.10″ accept’
firewall-cmd –permanent –zone=public –add-rich-rule=”rule family=”ipv4″ source address=”1.2.3.4/32″ port protocol=”tcp” port=”4567″ accept”

查看direct
firewall-cmd –direct –get-all-rules

direct
firewall-cmd –permanent –direct –get-all-rules
firewall-cmd –permanent –direct –add-rule ipv4 filter OUTPUT 0 -p tcp -m tcp –dport=25,465 -j REJECT

firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT_direct 2 -p udp –dport 53 -m string –algo bm –hex-string “|0000ff0001|” -j DROP
firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT_direct 0 -p udp -m udp –dport 53 -m recent –set –name NTPTRAFFIC –rsource
firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT_direct 1 -p udp -m udp –dport 53 -m recent –update –seconds 30 –hitcount 200 –name NTPTRAFFIC –rsource -j DROP

发表评论

电子邮件地址不会被公开。 必填项已用*标注