centos7的firewalld的命令高级应用

neocai

centos7基础文档三
一.处理运行时的区域
　　运行时模式下对区域进行的修改不是永久有效的，重新加载之后修改就会失效了；
1 启用区域中的一种服务即给某个区域开机某个服务
　　firewall-cmc  --zone=区域名称  --add-service=服务名称
2 禁用区域中的某个服务即关闭某个服务
　　此操作禁用区域中的某个服务，
　　firewall-cmd  --zone=区域名称  --remove-service=服务名称
3查询区域中是否启用了特定的服务
　　firewall-cmd  --zone=区域名称  --query-service=服务名称
4启用区域端口和协议组合
　　firewall-cmd   --zone=区域名称  --add-port=端口号/协议
5.禁用端口和协议
　　firewall-cmd  --zone=区域名称  --remove-port=端口号/协议
6查询区域中是否启用可端口和协议组合
　　firewall-cmd  --zone=区域名称  --query-port=端口号/协议
7启用区域中的ip地址伪装
　　firewall-cmd   --zone=区域名称  --add-masquerade    该操作只针对ipv4有效
8禁用区域中的ip地址伪装
　　firewall-cmd   --zone=区域名称  --remove-masquerade
9启用区域中的icmp阻塞功能
　　firewall-cmd   --zone=区域名称  --add-icmp-block=icmp类型    [echo-request和echo-reply]
10禁用区域中的icmp阻塞功能
　　firewall-cmd   --zone=区域名称  --remove-icmp-block=icmp类型
11在区域中启用端口转发功能
　　firewall-cmd   --zone=区域名称  --add-forward-port=port=端口号：proto=协议：toaddr=目标地址
　　端口可以是一个端口也可以是端口范围，ip地址可以是同一主机或者是不同的主机，但是端口转发功能仅限于ipv4的ip地址
二.处理永久区域
　　永久选项不直接影响运行时的状态，这些选项仅在重载或重启服务的时候生效，为了使用运行时和永久配置，需要分别设置两者，选项--permannet 需要时永久设置的第一参数
1获取永久选项所支持的服务
　　firewall-cmd --permannet    --get-services
2.获取永久选项所支持的icmp类型列表
　　firewall-cmd --permannet  --get-icmptypes
3获取支持的永久区域
　　firewall-cmd  --permannet --get-zones
4配置防火墙在public区域打开http协议，并保存，以致生效
　　firewall-cmd --permannet  --zone=public  --add-service=http
5防火墙开放8000端口在public区域
　　firewall-cmd --permannet --zone=public --add-port=8000/tcp
6命令行配置富规则
　　查看富规则：firewall-cmd --list-rich-rules
　　创建富规则:firewall-cmd --add-rich-rule 'rule family=ipv4 source address=源地址  service name=服务名称  log prefix="fpt" level=info  accept'  --permannet
7允许管理员在172.31.1.2主机通过ssh远程管理内网的192.168.31.83主机（所用端口为23456)
　　firewall-cmd --add-rich-rule 'rule family=ipv4 source address=172.31.1.2 forward-port port=23456 protocol=tcp  to-port=10211  to-addr=192.168.31.83' --permanent  --zone=external