防火墙文件:etc/firewalld/zones/public.xml
reject #拒绝
accept #接受
firewall-cmd --list-all #列出所有防火墙
systemctl list-unit-files #开机启动项
systemctl enable firewalld #设置开机自启动
systemctl disable firewalld #禁止开机启动
systemctl unmask firewalld #解除锁定防火墙
systemctl mask firewalld #锁定防火墙
systemctl start firewalld.service #开启防火墙
systemctl stop firewalld.service #关闭防火墙
firewall-cmd --list-ports #查看开启的端口
firewall-cmd --state #查看防火墙状态,是否是running
firewall-cmd --reload #重新载入配置,比如添加规则之后,需要执行此命令
firewall-cmd --get-zones #列出支持的zone
firewall-cmd --get-services #列出支持的服务,在列表中的服务是放行的
firewall-cmd --query-service ftp #查看ftp服务是否支持,返回yes或者no
firewall-cmd --add-service=ftp #临时开放ftp服务
firewall-cmd --add-service=ftp --permanent #永久开放ftp服务
firewall-cmd --remove-service=ftp --permanent #永久移除ftp服务
firewall-cmd --permanent --zone=public --add-port=873/tcp #永久开放873端口
firewall-cmd --permanent --zone=public --add-port=30000-40000/tcp #永久开发30000-40000端口
# 准许 10.10.10.0/24 段 TCP协议的888端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.10.0/24" port protocol="tcp" port="888" accept"
# 拒绝 10.10.10.0/24 段 TCP协议的888端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.10.10.0/24" port protocol="tcp" port="888" reject"
# 准许 10.10.10.0/24 段 ssh服务
firewall-cmd --add-rich-rule "rule family=ipv4 source address="10.0.10.0/24" service name='ssh' accept"
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade # 禁止防火墙伪装IP
firewall-cmd --list-forward-ports # 查看转发
#然后转发 tcp 22 端口至 3753
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753
#转发 22 端口数据至另一个 ip 的相同端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100
#转发 22 端口数据至另一 ip 的 2055 端口上
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100
# 添加
iptables -I INPUT -s 59.151.119.180 -j DROP
iptables -I INPUT -s 211.0.0.0/8 -j DROP
iptables -I OUTPUT -d 10.66.249.218 -j DROP
# 删除
iptables -L --line-numbers
iptables -D OUTPUT 1