CentOS 防火墙配置（firewall）

article/2025/8/20 1:36:29

常用的防火墙配置命令：

查看所有防火墙规则： firewall-cmd --list-all-zones
查看当前区域防火墙规则： firewall-cmd --list-all
添加一个开放服务规则： firewall-cmd --add-service=ssh
删除一个开放服务规则： firewall-cmd --remove-service=ssh
查看一个开放服务是否添加成功： firewall-cmd --query-service=ssh
查看一个开放服务配置路径： firewall-cmd --permanent --path-service=ssh
添加一个开放端口规则： firewall-cmd --add-port=2000-2010/tcp
删除一个开放端口规则： firewall-cmd --remove-port=2000-2010/tcp
查看一个开放端口是否添加成功： firewall-cmd --query-port=2005/tcp
重新加载配置规则： firewall-cmd --reload

1、查看防火墙状态

 systemctl status firewalld或者firewall-cmd --state#Active: active (running)，防火墙已开启#Active: inactive (dead)，防火墙已关闭

2、启动&停止&重启

systemctl start firewalld	#启动
systemctl stop firewalld	#停止
systemctl restart firewalld	#重启

2、允许\禁止开机自启动

systemctl enable firewalld		#允许
systemctl disable firewalld		#禁止

4、查看防火墙规则

firewall-cmd --list-all
-----------------------------------------
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: dhcpv6-client sshports: 4400-4600/udp 4400-4600/tcpprotocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

5、查看端口列表

firewall-cmd --list-ports
-----------------------
4400-4600/udp 4400-4600/tcp

6、查看指定端口是否开启

firewall-cmd --query-port=3306/tcp
--------------------------------
nofirewall-cmd --query-port=4400/tcp
--------------------------------
yes

7、添加端口

firewall-cmd --add-port=9001/tcp --permanent  #添加单个端口firewall-cmd --add-port=65001-65010/tcp --permanent	#批量添加区间端口firewall-cmd --reload         #一定要重载下# 查看是否添加成功
firewall-cmd --list-ports    
-------------------------
4400-4600/udp 4400-4600/tcp 2888/tcp 9001/tcp 65001-65010/tcp======================================================
`–permanent 永久生效 / 否则重启失效
–zone 作用域 一般都是public , 可以使用firewall-cmd --list-all-zones命令查看当前使用的域
–add-service 添加服务
–add-port 添加端口, 格式为 端口号/端口协议`

8、删除端口

firewall-cmd --remove-port=9001/tcp --permanent 	#删除指定端口
firewall-cmd --reload

9、重新加载（修改防火墙规则后需要执行reload）

firewall-cmd --reload

10、端口转发路由

# 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080

11、获取支持的区域列表

 firewall-cmd --get-zones

12、获取所有支持的服务

 firewall-cmd --get-services

13、获取所有支持的ICMP类型

 firewall-cmd --get-icmptypes

14、列出全部启用的区域的特性

 firewall-cmd --list-all-zones

15、扩展命令

# 检查是否允许伪装IP
firewall-cmd --query-masquerade  
# 允许防火墙伪装IP
firewall-cmd --add-masquerade    
# 禁止防火墙伪装IP
firewall-cmd --remove-masquerade

firewalld配置目录: /etc/firewalld/
默认区域配置目录： /usr/lib/firewalld/zones
默认服务配置目录： /usr/lib/firewalld/services
自定义区域规则配置目录： /etc/firewalld/zones

使用之前，几个需要理解的概念。

drop :类似于iptables的DROP，丢弃入口网络数据包不应答，出口网络数据包不限制。
block :类似REJECT，拒绝入口网络数据包，对于IPv4应答icmp-host-prohibited类型ICMP消息，对于IPv6应答icmp-adm-prohibited类型ICMP消息，
public :类似ACCEPT,接收入口网络数据包,但不信任外部请求是否会破坏主机。
trusted :接收所有连接数据。
external :用于在启用伪装的外部网络上，尤其是针对路由器。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
dmz :适用于您的非军事区内的计算机，这些计算机可公开访问，但对您的内部网络的访问受到限制。仅接受选定的传入连接。
work :用于工作区域。通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
home :用于家庭区域。您通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
internal :用于内部网络。您通常相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。