CentOS8中防火墙的使用

CentOS中firewalld与iptables

CentOS7以前的版本默认使用iptables服务进行管理防火墙规则。CentOS7以及以上版本默认使用firewalld服务管理防火墙。所以在CentOS8中，就使用其默认的firewalld配置防火墙。

firewalld相关命令

进程与状态相关

systemctl start firewalld.service    # 启动防火墙

systemctl stop firewalld.service     # 关闭防火墙

systemctl status firewalld.service   # 查看防具哦强状态

systemctl enable firewalld.service   # 设置防火墙随着系统启动

systemctl disable firewalld.service  # 禁止防火墙随着系统启动


firewall-cmd --state           # 查看防火墙状态

firewall-cmd --reload          # 更新防火墙规则

firewall-cmd --list-ports      # 查看所有打开的端口

firewall-cmd --list-services   # 查看所有允许的服务

firewall-cmd --get-services    # 获取所有支持的服务

区域相关

firewall-cmd --list-all-zones            # 查看所有区域信息
firewall-cmd --get-active-zones          # 查看活动区域信息
firewall-cmd --set-default-zone=public   # 设置public为默认区域
firewall-cmd --get-default-zone          # 查看默认区域信息

接口相关

firewall-cmd --zone=public --add-interface=eth0      # 将接口eth0加入区域public

firewall-cmd --zone=public --remove-interface=eth0   # 从区域public中删除接口eth0

firewall-cmd --zone=default --change-interface=eth0  # 修改接口eth0所属区域为default

firewall-cmd --get-zone-of-interface=eth0            # 查看接口eth0所属区域

端口相关

firewall-cmd --query-prt=8080/tcp    # 查询端口是否开放

firewall-cmd --add-port=8080/tcp --permanent  # 永久添加8080端口例外（全局）

firewall-cmd --remove-poet=8080/tcp --permanent  # 永久删除8080端口例外（全局）

firewall-cmd --add-port=65001-65010/tcp --permanent  # 永久增加65002~65010例外（全局）

firewall-cmd --zone=public --add-port=8080/tcp --permanent  # 永久添加8080端口例外（区域public）

firewall-cmd --zone=public --remove-port=8080/tcp --permanent  # 永久删除8080端口例外（区域public）

firewall-cmd --zone=public -add-port=65001-65010/tcp --permanent  # 永久增加65001~65010例外（区域public）

特别注意

添加/更改防火墙规则过后要么用firewall-cmd --reload更新防火墙规则，要么重启防火墙，否则规则无法生效。

最常用命令

firewalld-cmd --zone=public --add-port=8080/tcp --permanent

命令解析

firewall-cmd: 时Linux提供的操作firewall的一个工具（服务）命令；
--zone: 最用域；
--add-port=8080/tcp: 添加端口，格式为：端口/通信协议；add表示添加，remove则对应移出
permanent: 永久生肖，没有此参数重启后失效