从零开始的Linux运维屌丝之路,资源免费分享平台   运维人员首选:简单、易用、高效、安全、稳定、社区活跃的开源软件

Linux防火墙和 systemctl管理

发布:蔺要红07-09分类: 常用


防火墙文件:etc/firewalld/zones/public.xml
 
reject   #拒绝
accept   #接受

firewall-cmd --list-all               #列出所有防火墙    
systemctl list-unit-files             #开机启动项 
systemctl enable firewalld            #设置开机自启动
systemctl disable firewalld           #禁止开机启动
systemctl unmask firewalld            #解除锁定防火墙
systemctl mask firewalld              #锁定防火墙
systemctl start firewalld.service     #开启防火墙
systemctl stop  firewalld.service     #关闭防火墙
firewall-cmd --list-ports             #查看开启的端口
firewall-cmd --state                  #查看防火墙状态,是否是running
firewall-cmd --reload                 #重新载入配置,比如添加规则之后,需要执行此命令
firewall-cmd --get-zones                             #列出支持的zone
firewall-cmd --get-services                          #列出支持的服务,在列表中的服务是放行的
firewall-cmd --query-service ftp                     #查看ftp服务是否支持,返回yes或者no
firewall-cmd --add-service=ftp                       #临时开放ftp服务
firewall-cmd --add-service=ftp    --permanent           #永久开放ftp服务
firewall-cmd --remove-service=ftp   --permanent         #永久移除ftp服务

firewall-cmd --permanent --zone=public --add-port=873/tcp           #永久开放873端口                                 
firewall-cmd --permanent --zone=public --add-port=30000-40000/tcp   #永久开发30000-40000端口

# 准许 10.10.10.0/24 段 TCP协议的888端口       
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.10.0/24" port protocol="tcp" port="888" accept"
# 拒绝 10.10.10.0/24 段 TCP协议的888端口 
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.10.0/24" port protocol="tcp" port="888" reject"
# 准许 10.10.10.0/24 段 ssh服务
firewall-cmd --add-rich-rule "rule family=ipv4 source address="10.0.10.0/24" service name='ssh' accept" 
 
firewall-cmd --query-masquerade        # 检查是否允许伪装IP
firewall-cmd --add-masquerade          # 允许防火墙伪装IP
firewall-cmd --remove-masquerade       # 禁止防火墙伪装IP
firewall-cmd --list-forward-ports      # 查看转发

#然后转发 tcp 22 端口至 3753
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753
#转发 22 端口数据至另一个 ip 的相同端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100
#转发 22 端口数据至另一 ip 的 2055 端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100
 
# 添加
iptables -I INPUT -s 59.151.119.180 -j DROP
iptables -I INPUT -s 211.0.0.0/8 -j DROP

iptables -I OUTPUT -d 10.66.249.218  -j DROP

# 删除
iptables -L --line-numbers
iptables -D OUTPUT 1
 
温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,如有侵权我会在24小时之内删除!

欢迎使用手机扫描访问本站