firewall-cmd命令

（1）启动、停止、查看firewalld服务

        在安装CentOS 7系统时，会自动安装firewalld 和图形化工具firewall-config.执行以下命令可 以启动 firewalld 并设置为开机自启动状态。

[root@llcgc ~]# systemctl start firewalld.service    //启动firewalld
[root@llcgc ~]# systemctl enable firewalld.service   //设置firewalld为开机自启动

如果firewalld 正在运行，通过 systemctl status firewalld 或firewall-cmd 命令可以查看其运行 状态.

[root@llcgc ~]# systemctl status firewalld.service或[root@llcgc ~]# firewall-cmd --state

如果想要禁用firewalld，执行以下命令即可实现。

[root@llcgc ~]# systemctl stop firewalld.service        //停止firewalld
[root@llcgc ~]# systemctl disable firewalld.service     //设置firewalld开机不自启动

 

（2）获取预定义信息

firewall-cmd预定义信息主要包括三种：可用的区域、可用的服务以及可用的ICMP阻塞类型. 具体的查看命令如下所示。

[root@llcgc ~]# firewall-cmd --get-zones         //显示预定义的区域
[root@llcgc ~]# firewall-cmd --get-service       //显示预定义的服务
[root@llcgc ~]# firewall-cmd --get-icmptypes     //显示预定义的ICMP类型

（3）区域管理

        使用 firewall-cmd 命令可以实现获取和管理区域，为指定区域绑定网络接口等功能。

具体操作如下所示

[root@llcgc ~]# firewall-cmd --get-default-zone     //显示当前系统中默认区域
public[root@llcgc ~]# firewall-cmd --list-all        //显示默认区域的所有规则
public (active)target: defaulticmp-block-inversion: nointerfaces: ens34 br0sources: services: ssh dhcpv6-clientports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: [root@llcgc ~]# firewall-cmd --get-zone-of-interface=ens34    //显示网络接口ens34对应区域
public[root@llcgc ~]# firewall-cmd --zone=public --change-interface=ens34    //将接口ens34对应区域更改为public区域
[root@llcgc ~]# firewall-cmd --zone=public --list-interfaces 
ens34
[root@llcgc ~]# firewall-cmd --get-zone-of-interface=ens34
public[root@llcgc ~]# firewall-cmd --get-active-zones      //显示所有激活区域
publicinterfaces: ens34

（4）服务管理

        为了方便管理，firewalld预先定义了很多服务，存放在/usr/lib/firewalld/services/目录中. 服务通过单个的XM.配置文件来指定，这些配置文件则按以下格式命名：service-name.xml，每个 文件对应一项具体的网络服务，如 ssh 服务等.与之对应的配置文件中记录了各项服务所使用的 tcp/udp端口.在最新版本的firewalld 中默认已经定义了70多种服务供我们使用，对于每个网络 区域，均可以配置允许访问的服务，当默认提供的服务不适用或者需要自定义某项服务的端口时， 我们需要将service配置文件放置在/etc/firewalld/services/目录中。

        service配置具有以下优点：

        >通过服务名字来管理规则更加人性化。

        >通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务 的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

firewall-cmd 命令区域中服务管理的常用选项说明

具体操作如下所示

[root@llcgc ~]# firewall-cmd --list-services     //显示默认区域内允许访问的所有服务
ssh dhcpv6-client
[root@llcgc ~]# firewall-cmd --add-service=http    //设置默认区域允许访问http服务
success
[root@llcgc ~]# firewall-cmd --add-service=https    //设置默认区域允许访问httpd服务
success
[root@llcgc ~]# firewall-cmd --list-services        
ssh dhcpv6-client http https

[root@llcgc ~]# firewall-cmd --zone=internal --add-service=mysql       //设置internal区域允许访问mysql服务
success
[root@llcgc ~]# firewall-cmd --zone=internal --remove-service=samba-client      //设置internal区域不允许访问samba-client服务
success
[root@llcgc ~]# firewall-cmd --zone=internal --list-services      //显示internal区域内允许访问的所有服务
ssh mdns dhcpv6-client mysql

（5）端口管理

        在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。 但是，对于非预定义的服务只能手动为指定的区域添加端口。

        例如，执行以下操作即可实现在internal 区域打开443/TCP端口。

[root@llcgc ~]# firewall-cmd --zone=internal --add-port=443/tcp
success[root@llcgc ~]# firewall-cmd --list-ports --zone=internal 
443/tcp

        若想实现在internal 区域禁止443/TCP端口访问，可执行以下命令。

[root@llcgc ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success[root@llcgc ~]# firewall-cmd --list-ports --zone=internal 

（6）两种配置模式

        firewall-cmd 命令工具有两种配置模式：运行时模式(Runtime mode)表示当前内存中 运行的防火墙配置，在系统或firewalld服务重启.停止时配置将失效：永久模式（Permanent mode 表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。

> --reload：重新加载防火墙规则并保持状态信息.即将永久配置应用为运行时配置。

> --permanent：带有此选项的命令用于设置永久性规则，这些规则只有在重新启动firewalld 或重新加载防火墙规则时才会生效：若不带有此选项，表示用于设置运行时规则.

> --runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性配置。