firewalld实例

–permanent是永久生效的设置，需要执行–reload来生效配置，一般来说如果没有加上这条选项的话，执行–reload之后的设置都会失效
以下试题可以不加此选项，但是不能执行#firewall-cmd --reload

1：默认public区域对外开放所有人能通过ssh服务连接，但拒绝192.168.200.0/24网段通过ssh连接服务器

# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 port protocol=tcp port=22  reject'  	
# firewall-cmd --reload

2：使firewalld允许所有人能访问http,nginx服务，但只有192.168.100.10主机可以访问ssh服务

# firewall-cmd --add-service=http --permanent
# firewall-cmd --add-service=https --permanent
# firewall-cmd --remove-service=ssh --permanent
# firewall-cmd --add-source="192.168.100.10" --zone=trusted --permanent
# firewall-cmd --reload

3：当用户来源IP地址是192.168.100.20主机，则将用户请求的5555端口转发至后端192.168.100.10的22端口

# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.100.20 forward-port port=5555 protocol=tcp to-port=22 to-addr=192.168.100.10' --permanent
# firewall-cmd --reload

4：将tcp协议端口3300-3400添加到external区域

# firewall-cmd --zone=external --add-port=3300-3400/tcp --permanent   
# firewall-cmd --reload

5：查询internal区域中是否包含接口ens33

# firewall-cmd --zone=internal --list-interfaces

6：为internal区域删除绑定的网络接口ens33

# firewall-cmd --zone=public --remove-interface=ens33   

7：查询internal区域是否启用了ssh服务

# firewall-cmd --zone=internal --list-services

8：为internal区域设置允许访问ssh服务

# firewall-cmd --zone=internal --add-service=ssh --permanent   
# firewall-cmd --reload