centos7基礎文檔三
一.處理運行時的區域
運行時模式下對區域進行的修改不是永久有效的,重新加載之後修改就會失效了;
1 啓用區域中的一種服務即給某個區域開機某個服務
firewall-cmc --zone=區域名稱 --add-service=服務名稱
2 禁用區域中的某個服務即關閉某個服務
此操作禁用區域中的某個服務,
firewall-cmd --zone=區域名稱 --remove-service=服務名稱
3查詢區域中是否啓用了特定的服務
firewall-cmd --zone=區域名稱 --query-service=服務名稱
4啓用區域端口和協議組合
firewall-cmd --zone=區域名稱 --add-port=端口號/協議
5.禁用端口和協議
firewall-cmd --zone=區域名稱 --remove-port=端口號/協議
6查詢區域中是否啓用可端口和協議組合
firewall-cmd --zone=區域名稱 --query-port=端口號/協議
7啓用區域中的ip地址僞裝
firewall-cmd --zone=區域名稱 --add-masquerade 該操作只針對ipv4有效
8禁用區域中的ip地址僞裝
firewall-cmd --zone=區域名稱 --remove-masquerade
9啓用區域中的icmp阻塞功能
firewall-cmd --zone=區域名稱 --add-icmp-block=icmp類型 [echo-request和echo-reply]
10禁用區域中的icmp阻塞功能
firewall-cmd --zone=區域名稱 --remove-icmp-block=icmp類型
11在區域中啓用端口轉發功能
firewall-cmd --zone=區域名稱 --add-forward-port=port=端口號:proto=協議:toaddr=目標地址
端口可以是一個端口也可以是端口範圍,ip地址可以是同一主機或者是不同的主機,但是端口轉發功能僅限於ipv4的ip地址
二.處理永久區域
永久選項不直接影響運行時的狀態,這些選項僅在重載或重啓服務的時候生效,爲了使用運行時和永久配置,需要分別設置兩者,選項--permannet 需要時永久設置的第一參數
1獲取永久選項所支持的服務
firewall-cmd --permannet --get-services
2.獲取永久選項所支持的icmp類型列表
firewall-cmd --permannet --get-icmptypes
3獲取支持的永久區域
firewall-cmd --permannet --get-zones
4配置防火牆在public區域打開http協議,並保存,以致生效
firewall-cmd --permannet --zone=public --add-service=http
5防火牆開放8000端口在public區域
firewall-cmd --permannet --zone=public --add-port=8000/tcp
6命令行配置富規則
查看富規則:firewall-cmd --list-rich-rules
創建富規則:firewall-cmd --add-rich-rule 'rule family=ipv4 source address=源地址 service name=服務名稱 log prefix="fpt" level=info accept' --permannet
7允許管理員在172.31.1.2主機通過ssh遠程管理內網的192.168.31.83主機(所用端口爲23456)
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=172.31.1.2 forward-port port=23456 protocol=tcp to-port=10211 to-addr=192.168.31.83' --permanent --zone=external