一、安裝firewall
#yum install -y firewalld firewall-config

二、啟動并設置開機自啟動
# systemctl start firewalld
# systemctl enable firewalld
# systemctl stop firewalld
# systemctl disable firewalld

三、firewall配置
# firewall-config 防火墻圖形配置界面
# firewall-cmd --list-all
# firewall-cmd --zone=public --list-all
# firewall-cmd --list-all-zones 列出所有區域的設置
# firewall-cmd --list-services 列出所有預設服務
# firewall-cmd --list-rich-rules
設置網絡地址到指定的區域
# firewall-cmd --permanent --zone=internal --add-source=172.25.254.0/24
#firewall-cmd --permanent --zone=internal --remove-source=172.25.254.0/24
添加、改變、刪除網絡接口：
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、刪除服務：
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、刪除端口：
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
使用 –direct 選項在運行時間里增加或者移除鏈：
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT
刪除規則：
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j ACCEPT
列出規則：
# firewall-cmd --direct --get-all-rules
重載防火墻：
# firewall-cmd --reload
添加復雜路由：
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.17.0.0/16" port port="3306" protocol="tcp" accept'

四、復雜路由:rich-rules
在這個部分,所有命令都必須以 root 用戶身份運行。增加一項規則的命令格式如下:
firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds]
這樣將為 zone 分區增加一項多語言規則 rule 。這個選項可以多次指定。如果分區被省略,將使用默認分區。如果出現超時,規則將在指定的秒數內被激活,并在之后被自動移除移除一項規則:
firewall-cmd [--zone=zone] --remove-rich-rule='rule'
檢查一項規則是否存在:
firewall-cmd [--zone=zone] --query-rich-rule='rule'
這將復查是否已經為區域增加一個多語言規則 。如果可用,屏幕會顯示 yes,退出狀態為0; 否則,屏幕顯示 no ,退出狀態為 1。如果省略 zone,默認區域將被使用。
列出所有多語言規則：
firewall-cmd --list-rich-rules
添加規則：
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'
允許172.25.0.10主機所有連接。
# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分鐘允許2個新連接訪問ftp服務。
# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'
同意新的 IP v4 和 IP v6 連接 FT P ,并使用審核每分鐘登錄一次。
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24" service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
允許來自172.25.0.0/24地址的新 IPv4連接連接TFTP服務,并且每分鐘記錄一次。
# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
丟棄所有icmp包
# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --timeout=10
當使用source和destination指定地址時，必須有family參數指定ipv4或ipv6。如果指定超時,
規則將在指定的秒數內被激活,并在之后被自動移除。
#firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300
拒絕所有來自2001:db8::/64子網的主機訪問dns服務，并且每小時只審核記錄1次日志。
# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 service name=ftp accept'
允許172.25.0.0/24網段中的主機訪問ftp服務
# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'
轉發來自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.17.0.0/16" port port="3306" protocol="tcp" accept'

轉載于:https://www.cnblogs.com/xiatian09/p/10213353.html

總結

以上是生活随笔為你收集整理的Firewall配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。