一 、控制端口/服務(wù)

可以通過(guò)兩種方式控制端口的開(kāi)放，一種是指定端口號(hào)另一種是指定服務(wù)名。雖然開(kāi)放http服務(wù)就是開(kāi)放了80端口，但是還是不能通過(guò)端口號(hào)來(lái)關(guān)閉，也就是說(shuō)通過(guò)指定服務(wù)名開(kāi)放的就要通過(guò)指定服務(wù)名關(guān)閉；通過(guò)指定端口號(hào)開(kāi)放的就要通過(guò)指定端口號(hào)關(guān)閉。還有一個(gè)要注意的就是指定端口的時(shí)候一定要指定是什么協(xié)議，tcp還是udp。知道這個(gè)之后以后就不用每次先關(guān)防火墻了，可以讓防火墻真正的生效。

firewall-cmd --add-service=mysql # 開(kāi)放mysql端口 firewall-cmd --remove-service=http # 阻止http端口 firewall-cmd --list-services # 查看開(kāi)放的服務(wù) firewall-cmd --add-port=3306/tcp # 開(kāi)放通過(guò)tcp訪問(wèn)3306 firewall-cmd --remove-port=80tcp # 阻止通過(guò)tcp訪問(wèn)3306 firewall-cmd --add-port=233/udp # 開(kāi)放通過(guò)udp訪問(wèn)233 firewall-cmd --list-ports # 查看開(kāi)放的端口

二、偽裝IP

防火墻可以實(shí)現(xiàn)偽裝IP的功能，下面的端口轉(zhuǎn)發(fā)就會(huì)用到這個(gè)功能。

firewall-cmd --query-masquerade # 檢查是否允許偽裝IP firewall-cmd --permanent --add-masquerade # 允許防火墻偽裝IP firewall-cmd --permanent --remove-masquerade# 禁止防火墻偽裝IP

三、端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)可以將指定地址訪問(wèn)指定的端口時(shí)，將流量轉(zhuǎn)發(fā)至指定地址的指定端口。轉(zhuǎn)發(fā)的目的如果不指定ip的話(huà)就默認(rèn)為本機(jī)，如果指定了ip卻沒(méi)指定端口，則默認(rèn)使用來(lái)源端口。

如果配置好端口轉(zhuǎn)發(fā)之后不能用，可以檢查下面兩個(gè)問(wèn)題：

• 比如我將80端口轉(zhuǎn)發(fā)至8080端口，首先檢查本地的80端口和目標(biāo)的8080端口是否開(kāi)放監(jiān)聽(tīng)了
• 其次檢查是否允許偽裝IP，沒(méi)允許的話(huà)要開(kāi)啟偽裝IP

# 將80端口的流量轉(zhuǎn)發(fā)至8080 firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080 # 將80端口的流量轉(zhuǎn)發(fā)至 firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1 # 將80端口的流量轉(zhuǎn)發(fā)至192.168.0.1的8080端口 firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080

• 當(dāng)我們想把某個(gè)端口隱藏起來(lái)的時(shí)候，就可以在防火墻上阻止那個(gè)端口訪問(wèn)，然后再開(kāi)一個(gè)不規(guī)則的端口，之后配置防火墻的端口轉(zhuǎn)發(fā)，將流量轉(zhuǎn)發(fā)過(guò)去。
• 端口轉(zhuǎn)發(fā)還可以做流量分發(fā)，一個(gè)防火墻拖著好多臺(tái)運(yùn)行著不同服務(wù)的機(jī)器，然后用防火墻將不同端口的流量轉(zhuǎn)發(fā)至不同機(jī)器。

查詢(xún)端口號(hào)80 是否開(kāi)啟：firewall-cmd --query-port=80/tcp永久開(kāi)放80端口號(hào)：firewall-cmd --permanent --zone=public --add-port=80/tcp
重新加載防火墻規(guī)則：firewall-cmd --reload移除80端口號(hào)：firewall-cmd --permanent --zone=public --remove-port=80/tcp--zone #作用域 --add-port=80/tcp #添加端口，格式為：端口/通訊協(xié)議 --permanent #永久生效，沒(méi)有此參數(shù)重啟后失效
--reload　　#配合--permanent參數(shù)永久保存

查看防火墻狀態(tài)
systemctl?status?firewalld.service
啟動(dòng)|關(guān)閉|重新啟動(dòng) ?防火墻
systemctl?[start|stop|restart]?firewalld.service?

?

來(lái)自：https://blog.csdn.net/slovyz/article/details/78487182

? ? ? ? ? https://blog.csdn.net/tongdengquan/article/details/79923706

轉(zhuǎn)載于:https://www.cnblogs.com/luck666/p/10449087.html

總結(jié)

以上是生活随笔為你收集整理的CentOS 7下用firewall-cmd的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。