Linux防火墙firewall命令

本文详细介绍了在Linux系统中操作防火墙的方法,包括查看服务状态、开启、重启、关闭服务,以及如何设置端口开放、关闭、转发规则,区域信息管理等高级功能。通过本文,你可以掌握firewall-cmd工具的使用,实现对防火墙的有效管理和配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、查看firewall服务状态

systemctl status firewalld

出现Active: active (running)切高亮显示则表示是启动状态。

出现 Active: inactive (dead)灰色表示停止,看单词也行。

2、查看firewall的状态

firewall-cmd --state

3、开启、重启、关闭、firewalld.service服务

开启

systemctl start firewalld

重启

systemctl restart firewalld

关闭

systemctl stop firewalld

开机自启服务 

systemctl enable firewalld

 开机禁用服务

systemctl disable firewalld

查看是否开机自启动

systemctl is-enable firewalld

 4、查看防火墙规则

firewall-cmd --list-all

查看防火墙开启端口

firewall-cmd --list-ports

查看防火墙开启服务

firewall-cmd --list-services

5、查询、开放、关闭端口

查询端口是否开放

firewall-cmd --query-port=8080/tcp

开放80端口

firewall-cmd --permanent --add-port=80/tcp

移除端口

firewall-cmd --permanent --remove-port=8080/tcp

6、转发规则

开启IP伪装

firewall-cmd --permanent --add-masquerade

关闭IP伪装 

firewall-cmd --remove-masquerade

 查看当前生效的端口转发规则 

firewall-cmd --list-forward-ports

 添加转发规则

# 将888端口的tcp流量转发至22端口,永久生效模式
firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=80

# 将888端口的tcp流量转发至192.168.10.10的80端口,永久生效模式
firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=80:toaddr=192.168.10.10

删除转发规则 

firewall-cmd --permanent --remove-forward-port=port=888:proto=tcp:toport=22

7、区域信息

查看区域信息

firewall-cmd --get-active-zones

查看默认区域

firewall-cmd --get-default-zone

查看指定接口所属区域

firewall-cmd --get-zone-of-interface=eth0

 查看指定区域的接口

firewall-cmd --zone=public --list-interfaces

 向指定区域添加接口

firewall-cmd --zone=public --add-interface=eth0

修改接口所在区域

firewall-cmd --zone=public --change-interface=eth0

查看接口是否在该区域

firewall-cmd --zone=public --query-interface=eth0

从区域移除接口

firewall-cmd --zone=public --remove-interface=eth0

8、重启防火墙(修改配置后要重启防火墙)

firewall-cmd --reload

# 参数解释
1、firwall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;

### 配置和管理Linux防火墙 #### 使用`firewalld` `Firewalld` 提供了一种动态管理防火墙的方式,允许更新规则而不中断现有连接。对于大多数现代Linux发行版,默认情况下会安装并启用 `firewalld`。 要查看当前状态可以运行如下命令: ```bash sudo systemctl status firewalld ``` 为了启动或停止服务可分别执行下面两条指令之一: ```bash sudo systemctl start firewalld # 启动服务 sudo systemctl stop firewalld # 停止服务 ``` 如果希望开机自动加载,则需设置为开启状态: ```bash sudo systemctl enable firewalld ``` 通过图形界面配置也很简单,只需打开应用程序菜单找到名为 "Firewall Configuration" 或者直接在终端里键入 `firewall-config` 即可进入GUI模式进行操作[^2]。 #### 添加端口和服务到特定区域 默认情况下,公共区(`public`)被选作活跃区;但是可以根据需求更改此设定。向指定区域内添加开放端口的例子如下所示: ```bash sudo firewall-cmd --zone=public --add-port=80/tcp --permanent ``` 上述命令永久性地将TCP协议下的HTTP(80)端口加入到了公网访问列表之中。记得每次修改后都要重新载入配置文件使改动生效: ```bash sudo firewall-cmm --zone=public --remove-port=80/tcp --permanent ``` 当涉及到具体的应用程序而非单一端口号时,比如SSH、HTTPS等常用的服务名同样适用这种方式处理: ```bash sudo firewall-cmd --zone=public --add-service=https --permanent ``` 这行代码的作用就是让HTTPS流量能够顺利穿过防火墙屏障到达目标主机上监听该类型的进程那里去[^1]。 #### 利用`iptables`实现更精细控制 尽管`firewalld`已经足够满足日常维护工作所需的功能特性了,但对于某些特殊场景下可能还是需要用到更为底层也更加灵活多变的工具——即`iptables`本身。它能让我们直接针对IPv4层面的数据流制定详尽而又复杂的过滤策略。 创建一条简单的INPUT链规则阻止来自某个IP地址的所有传入请求样例如下: ```bash sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` 这里的意思是从源地址为`192.168.1.100`过来的一切尝试都将遭到拒绝响应。当然实际应用当中往往不会这么绝对化,而是配合其他条件一起使用形成复杂逻辑判断结构[^3]。 保存这些自定义好的表项以便重启之后仍然有效非常重要: ```bash sudo sh -c "iptables-save > /etc/iptables/rules.v4" ``` 以上就是在Linux环境中围绕着两个主流防火墙解决方案展开的一些基本介绍与实践指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值