防火墙firewalld--例子和实操

四.例子

服务与端口

在public中添加一个允许访问http服务 firewall-cmd --zone=public --add-service=http

在public中拒绝访问http服务 firewall-cmd --zone=public --remove-service=http

允许访问12345端口的tcp流量 firewall-cmd --zone=public --add-port=12345/tcp

拒绝访问12345端口的tcp流量 firewall-cmd --zone=public --remove-port=12345/tcp

转发

将本地80端口的流量转发到本地12345端口上 firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345

转发到另一台服务器上需要的区域中激活 masquerade。 firewall-cmd --zone=public --add-masquerade

将本地80端口转发到123.456.78.9的8080上 firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

将add变成remove就是去除这条 firewall-cmd --zone="public" --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

五.丰富规则

列出你目前的丰富规则 firewall-cmd --list-rich-rules

允许192.168.0.14的所有IPv4流量 firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'

拒绝192.168.1.10的ipv4访问22端口 firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject'

允许10.1.0.3的ipv4访问80端口的tcp，并把流量转发到6532上 firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'

六.实际操作

跳板机

跳板机通常只开放22端口，其它关闭，并且只允许某ip连接，其它需要拨VPN

选择public做默认区域 firewall-cmd --set-default-zone=public

允许指定ip访问固定端口 firewall-cmd --add-rich-rule="rule family="ipv4" source address=10.10.10.140 port protocol="tcp" port="22" accept"

对外服务机器

允许所有访问80端口 firewall-cmd --add-port=80/tcp

允许固定ip访问所有端口 firewall-cmd --add-rich-rule 'rule family="ipv4" source address=10.10.10.140 accept'

允许跳板机ip访问22端口 firewall-cmd --add-rich-rule="rule family="ipv4" source address=10.10.10.140 port protocol="tcp" port="22" accept"

内部应用服务器

允许所有端口访问 firewall-cmd --add-port=1-65535/tcp firewall-cmd --add-port=1-65535/udp