firewalld模塊用於在防火牆中添加或刪除服務和端口
firewalld模塊常用參數
• state:必須參數,指定防火牆策略狀態,enable表示策略生效,disable表示策略禁用,present表示新建策略,absent表示刪除策略
• service:向防火牆添加/刪除的服務名稱,該服務必須在firewall-cmd --get-services可以查詢到
• port:要從防火牆添加或刪除端口或端口範圍,必須以端口/協議,端口範圍/協議的形式書寫
• permanent:保存策略,在下次啓動時自動加載
• immediate:配置永久策略後立即生效
• interface:添加/刪除 出入防火牆的接口
• offline:脫機狀態運行防火牆
• zone:添加/刪除防火牆區域,有如下區域可供配置
○ drop: 丟棄所有進入的包,而不給出任何響應
○ block: 拒絕所有外部發起的連接,允許內部發起的連接
○ public: 允許指定的進入連接
○ external: 同上,對僞裝的進入連接,一般用於路由轉發
○ dmz: 允許受限制的進入連接
○ work: 允許受信任的計算機被限制的進入連接,類似 workgroup
○ home: 同上,類似 homegroup
○ internal: 同上,範圍針對所有互聯網用戶
○ trusted: 信任所有連接
• source:指定從防火牆添加/刪除的網段
• timeout:非永久性規則的生效時間
firewalld模塊示例
1、放行httpd服務,立即生效,重啓後依然生效
- name: http
firewalld:
service: http
state: enabled
permanent: yes
immediate: yes
2、放行82端口,立即生效,重啓後依然生效
- name: http-82
firewalld:
port: 82/tcp
state: enabled
permanent: yes
immediate: yes
參考:ansible-doc firewalld