Linux防火墙(firewalld、firewalld-cmd、systemctl、iptables)用法及作用

CentOS7采用新的firewalld，CentOS6及以前版本采用iptables，不过firewalld底层仍然调用的是iptables；systemctl是CentOS7的服务管理工具中主要的工具；firewalld-cmd是firewalld的命令行工具。

firewalld

systemctl start firewalld             //启动
systemctl status firewalld            //查看状态
systemctl disable firewalld           //停止
systemctl stop firewalld              //禁用

firewalld-cmd

firewall-cmd --version			 //查看版本
firewall-cmd --state			 //显示状态
firewall-cmd --reload			 //更新防火墙规则
firewall-cmd --zone=public --list-ports	 //查看所有打开的端口

firewall-cmd --panic-on			 //拒绝所有包
firewall-cmd --panic-off		 //取消拒绝状态
firewall-cmd --query-panic		 //查看是否拒绝

防火墙端口启用禁用（–permanent永久生效，没有此参数重启后失效，记得更新防火墙规则）
firewall-cmd --zone=public --add-port=80/tcp --permanent	//启用80端口
firewall-cmd --zone=public --query-port=80/tcp			//查看80端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent	//删除80端口


firewall-cmd --add-port=8056/tcp      //开放8056端口
//二转发端口
firewall-cmd --permanent --zone=public --add-forward-port=port=8056:proto=tcp:toaddr=xxx.xx.xx.xxx:toport=3356
//重新启动服务，让规则生效
systemctl start firewalld.service    //方法一，重新启动
firewall-cmd --reload                //方法二，重新加载



firewall-cmd --list-all                   //列出所有开放端口，包括转发规则

firewall-cmd --zone=public --list-ports   //列出所有类型public 的端口

firewall-cmd --remove-port=8056/tcp      //临时删除端口

firewall-cmd --zone=public --remove-port=8005/tcp --permanent   //永久删除卡对外开放的端口
//删除转发规则
firewall-cmd --permanent --zone=public --remove-forward-port=port=8056:proto=tcp:toaddr=xxx.xx.xx.xxx:toport=3356

systemctl

systemctl start firewalld.service		//启动防火墙服务
systemctl stop firewalld.service		//关闭服务
systemctl restart firewalld.service		//重启服务
systemctl status firewalld.service		//显示服务的状态
systemctl enable firewalld.service		//在开机时启用服务
systemctl disable firewalld.service		//在开机时禁用服务
systemctl is-enabled firewalld.service	        //查看服务是否开机启动
systemctl list-unit-files|grep enabled	        //查看已启动的服务列表
systemctl --failed	                        //查看启动失败的服务列表	

iptables

iptables -F  			//清空所有的防火墙规则
iptables -X  			//删除用户自定义的空链
iptables -Z 			//清空计数

iptables -V			 //V大写，查看版本信息
service iptables stop		//关闭服务
service iptables start		//开启服务
service iptables restart	//重启服务
service iptables status		//查看iptables规则，也可用iptables --list

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 	//配置允许ssh端口连接，22为端口，-s指定允许的网段
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 		//开启80端口
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 	//允许被ping

-s 指定源地址
-d 指定目标地址
-p 指定协议
-i 指定数据报文流入接口
-o 指定数据报文流出接口