centos7中firewall的使用-2

狂欢‰一夜

用命令行接口（CLI）查看防火墙设置
　　输入以下命令，得到 firewalld 的状态的文本显示：
~]$ firewall-cmd --state　　输入以下命令，查看活动分区的列别，并附带一个目前分配给它们的接口列表：
~]$ firewall-cmd --get-active-zonespublic: em1 wlan0　　输入以下命令，找出当前分配了接口（例如 em1）的区域：
~]$ firewall-cmd --get-zone-of-interface=em1public　　以 root 身份输入以下命令，找出分配给一个区域（例如公共区域）的所有接口：
~]# firewall-cmd --zone=public --list-interfacesem1 wlan0　　从 NetworkManager 可以得到这个信息，并且仅显示接口而非连接。
　　以 root 用户身份输入以下命令，找出像公共区域这样的一个区域的所有设置：
~]# firewall-cmd --zone=public --list-allpublic　　
  interfaces:
　　
  services: mdns dhcpv6-client ssh
　　
  ports:
　　
  forward-ports:
　　
  icmp-blocks: source-quench
　　以 root 身份输入以下命令，查看目前活动的网络区域：
~]# firewall-cmd --get-servicecluster-suite pop3s bacula-client smtp ipp radius bacula ftp mdns samba dhcpv6-client dns openvpn imaps samba-client http https ntp vnc-server telnet libvirt ssh ipsec ipp-client amanda-client tftp-client nfs tftp libvirt-tls　　这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意，配置文件是以服务本身命名的 service-name.xml。
　　以 root 身份输入以下命令，查看所有在防火墙下次加载后将活跃的网络区域：
~]# firewall-cmd --get-service --permanent用命令行接口（CLI）更改防火墙设置
1.终止所有数据包（Panic模式）
　　以 root 身份输入以下命令，开始终止所有输入和输出的数据包：
~]# firewall-cmd --panic-on　　所有输入和输出的数据包都将被终止。在一段休止状态之后，活动的连接将被终止；花费的时间由单个会话的超时值决定。
　　以 root 身份输入以下命令，开始再次传输输入和输出的数据包：
~]# firewall-cmd --panic-off　　禁用 panic 模式之后，如果 panic 模式被运行一小段时间，建立的连接可以再次工作。
　　输入命令，确定 panic 模式被使用或者禁用：
~]$ firewall-cmd --query-panic　　如果在运行模式，屏幕会显示 yes，退出状态为 0，如果被启用，屏幕会显示 no，退出状态为 0。
2. 用命令行接口（CLI）重新加载防火墙
　　以 root 身份输入以下命令，重新加载防火墙，并不中断用户连接，即不丢失状态信息：
~]# firewall-cmd --reload　　以 root 身份输入以下信息，重新加载防火墙并中断用户连接，即丢弃状态信息：
~]# firewall-cmd --complete-reload　　通常在防火墙出现严重问题时，这个命令才会被使用。比如，防火墙规则是正确的，但却出现状态信息问题和无法建立连接。
3. 用命令行接口（CLI）为分区增加接口
　　要为一个分区增加接口，比如，把 em1 增加到公共分区，则以 root 身份输入以下命令：
~]# firewall-cmd --zone=public --add-interface=em1　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
4. 通过编辑接口配置文件为分区增加接口
　　要通过编辑 ifcfg-em1 配置文件来为一个分区增加接口，比如，把 em1 增加到工作分区，需以 root身份用一个编辑器增加以下行到 ifcfg-em1：
ZONE=work　　注意，如果您遗漏 ZONE 选项，或者使用 use ZONE=或ZONE=''，那么默认区将被使用。
　　NetworkManager 程序将自动连接，相应地，分区将被设定。
5. 通过编辑防火墙配置文件来配置默认分区
　　以 root 用户身份，打开 /etc/firewalld/firewalld.conf 并按如下方式编辑文件：
# default zone　　
# The default zone used if an empty zone string is used.
　　
# Default: public
　　
DefaultZone=home
　　以 root 身份输入以下命令，以重新加载防火墙：
~]# firewall-cmd --reload　　这样可以在不丢失状态信息的同时重新加载防火墙（TCP对话不会被中断）。
6. 使用命令行接口（CLI）设置默认分区
　　以 root 用户身份输入以下命令来设置默认分区，比如设置为公共区域：
~]# firewall-cmd --set-default-zone=public　　这个更改将立刻生效，而且在此情况下不需要重新加载防火墙。
7. 用命令行接口打开防火墙的端口
　　通过以 root 身份输入以下命令，列出一个区域，例如 dmz 的所有开放端口：
~]# firewall-cmd --zone=dmz --list-ports　　要将一个端口加入一个分区，例如，允许 TCP 的流量通过端口 8080 的 进入dmz分区，则以 root 身份输入以下命令：
~]# firewall-cmd --zone=dmz --add-port=8080/tcp　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
　　要将一系列端口加入一个分区，比如允许从 5060 到 5061 的端口都接入公共分区，则以 root 身份输入以下命令：
~]# firewall-cmd --zone=public --add-port=5060-5061/udp　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
8. 使用命令行接口（CLI）将一个服务加入到分区
　　要把一个服务加入到分区，例如允许 SMTP 接入工作区，则以 root 身份运行以下命令：
~]# firewall-cmd --zone=work --add-service=smtp　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
9. 使用命令行接口（CLI）从一个分区移除服务
　　要从分区移除服务，比如从工作区移除 SMTP，则以 root 身份输入以下命令：
~]# firewall-cmd --zone=work --remove-service=smtp　　增加 --permanent 可使这个更改在系统启动后被允许。如果用这个选项，并且希望立刻产生更改，以 root 身份输入以下命令，重新加载防火墙：
~]# firewall-cmd --reload　　注意，这并不会中断已经建立的连接。如果您打算中断，您可以使用 --complete-reload 选项，但这不仅仅中断您已经移除的服务，还会中断所有已经建立的连接。
10. 通过编辑 XML 文件为一个分区增加服务
　　以 root 身份输入以下命令，查看默认分区文件：
~]# ls /usr/lib/firewalld/zones/block.xml  drop.xml      home.xml      public.xml   work.xml　　
dmz.xml    external.xml  internal.xml  trusted.xml
　　这些文件不能编辑。如果 /etc/firewalld/zones/ 目录里没有等效文件存在，它们被默认为可使用。
　　以 root 身份输入以下命令，查看从默认区被更改的分区文件：
~]# ls /etc/firewalld/zones/external.xml  public.xml  public.xml.old　　在上述示例中，工作区域文件不存在。以 root 身份输入以下命令，加入工作区文件：
~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/　　现在您可以在 /etc/firewalld/zones/ 目录中编辑该文件。如果您删除该文件，firewalld 将切换到使用 /usr/lib/firewalld/zones/ 里的默认文件。
　　要将一个服务加入分区，比如允许 SMTP 进入工作区，则以 root 权限编辑程序，编辑 /etc/firewalld/zones/work.xml 文件，使之包括如下行：
<service name="smtp"/>11. 通过编辑 XML 文件从一个分区中移除服务
　　编辑 XML 区域文件，必须以 root 权限运行编辑程序。以 root 身份输入以下命令，查看过去配置的分区的文件：
~]# ls /etc/firewalld/zones/external.xml  public.xml  work.xml　　以 root 权限来编辑程序，编辑 /etc/firewalld/zones/work.xml 文件来移除如下行：
<service name="smtp"/>　　就能从一个分区移除服务，比如从工作区移除 SMTP。如果 work.xml 文件没有进行其他更改，它可以被移除，并且 firewalld 会在下一次重新加载或者系统启动之后使用默认的 /usr/lib/firewalld/zones/work.xml 配置。
12. 配置伪装 IP 地址
　　如果伪装 IP 不能为一个外部区域启用，则以 root 身份输入以下命令来检查：
~]# firewall-cmd --zone=external --query-masquerade　　如果可用，屏幕会显示 yes，退出状态为 0； 否则，屏幕显示 no，退出状态为 1。如果省略zone ，默认区域将被使用。
　　以 root 身份输入以下命令，允许伪装IP：
~]# firewall-cmd --zone=external --add-masquerade　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
　　以 root 身份输入以下命令，禁用伪装IP：
~]# firewall-cmd --zone=external --remove-masquerade　　增加 --permanent 选项并重新加载防火墙，使之成为永久性设置。
13. 使用命令行接口（CLI）配置端口转发
　　要将进入网络的程序包从一个端口转发到一个替代端口或者地址，首先需以 root 身份输入以下命令来为一个区域（比如外部区域），运行伪装 IP 地址：
~]# firewall-cmd --zone=external --add-masquerade　　以 root 身份输入以下命令，把程序包转发到一个本地端口，即相同系统上的一个端口：
~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753　　在这个例子里，本来要送到 22 端口的程序包现在被转发到 3753 端口。源目的端口用 port 选项指定。这个选项可以是一个端口，或者一组端口范围并加上协议。如果指定协议的话，这个协议必须是 tcp 或 udp。这个新的本地端口，即流量被转发过去的端口或者端口范围，需用 toport 选项指定。增加 --permanent 选项并重新加载防火墙，可以使设置永久保存。
　　以 root 身份输入以下命令，不改变目的端口将程序包转发到另一个通常是内部地址的 IPv4 地址：
~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55　　在这个示例中，原本发往22端口的程序包现在被转发到相同的端口，地址则由 toaddr 提供。源目的地端口用 port 指定。这个选项可能是一个端口，或者一组端口范围并加上协议。如果被指定，协议必须是 tcp 或 udp 中的一个。这个新端口，即流量被转发过去的端口或者端口范围，用 toport 指定。增加 --permanent 选项并重新加载防火墙，使这个设定永久保存。
　　以 root 身份输入以下命令，把程序包转发到通常是内部地址的另一个 IPv4 地址：
~]# firewall-cmd --zone=external /　　
      --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55
　　在这个示例中，原本发往 22 端口的程序包现在被转发到和 toaddr 选项一起给出地址的2055端口。源目的端口用 port 选项指定。这个选项可以是一个端口，或者打包了协议的端口范围。如果被指定，这个协议一定是 tcp 或 udp 中的一个。这个新的目的端口，即流量被转发过去的端口或者端口范围，用 toport 指定。增加 --permanent 选项并重新加载防火墙，使这个设置永久保留。
14. 用 XML 文件配置防火墙
　　firewalld 的配置设定存储在/etc/firewalld/ 目录下的 XML 文件里。切勿编辑 /usr/lib/firewalld/ 目录下的文件，因为它们是为默认设定准备的。查看和编辑这些 XML 文件，您需要 root 的用户许可。三个操作手册对 XML 文件进行了解说：

• 　　firewalld.icmptype(5) 操作手册 — 描述了 ICMP 过滤的 XML 配置文件。
  
• 　　firewalld.service(5) 操作手册 — 描述了 firewalld service 的 XML 配置文件。
  
• 　　firewalld.zone(5) 操作手册 — 描述了配置 firewalld 区域的 XML 配置文件。
  

　　用图形化工具和命令行工具可以对 XML 文件进行直接创建、编辑或者间接创建。组织可以把它们分配到 RPM 文件里，使管理和版本控制更容易。例如 Puppet 的工具可以分配这种配置文件。
15. 使用直接接口
　　通过 firewall-cmd 工具，可以使用 --direct 选项在运行时间里增加或者移除链。现提供一些例子，请查阅 firewall-cmd(1) 操作说明获取更多信息。
　　如果不熟悉 iptables ，使用直接接口非常危险，因为您可能无意间导致防火墙被入侵。
　　直接端口模式适用于服务或者程序，以便在运行时间内增加特定的防火墙规则。这些规则不是永久性的，它们需要在每次通过 D-BU S从 firewalld 接到启动、重新启动和重新加载信息后运用。
16. 使用直接接口增加一个自定义规则
　　以 root 身份按照以下格式发布一个命令，增加一个自定义规则到 “IN_public_allow” 链里：
~]# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \　　
      0 -m tcp -p tcp --dport 666 -j ACCEPT
17. 用直接接口移除一个自定义规则
　　以 root 用户身份按照以下格式发布一个命令，从 “IN_public_allow” 链移除一个自定义规则：
~]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \　　
      0 -m tcp -p tcp --dport 666 -j ACCEPT
18. 用直接接口列出自定义规则
　　以 root 用户身份按照以下格式发布一个命令，列出 “IN_public_allow” 链中的规则：
~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow