<p>接下来通过以下命令开放 http 80 端口:</p><p>firewall-cmd --add-service=http --permanent</p><p>firewall-cmd --add-port=80/tcp --permanent</p><p>命令末尾的 --permanent 表示用久有效,不加这句的话重启后刚才开放的端口就又失效了.</p><p>然后重启防火墙:</p><p>firewall-cmd --reload</p><p>再次查看端口的开放情况:</p><p>firewall-cmd --list-all</p><p>延伸阅读:</p><p>Firewall 的 Zone 还能将不同的网络连接归类到不同的信任级别:</p><p>drop: 丢弃所有进入的包,而不给出任何响应</p><p>block: 拒绝所有外部发起的连接,允许内部发起的连接</p><p>public: 允许指定的进入连接</p><p>external: 同上,对伪装的进入连接,一般用于路由转发</p><p>dmz: 允许受限制的进入连接</p><p>work: 允许受信任的计算机被限制的进入连接,类似 workgroup</p><p>home: 同上,类似 homegroup</p><p>internal: 同上,范围针对所有互联网用户</p><p>trusted: 信任所有连接</p><p>过滤规则解释如下:</p><p>source: 根据源地址过滤(优先级最高)</p><p>interface: 根据网卡过滤(优先级次高)</p><p>service: 根据服务名过滤</p><p>port: 根据端口过滤</p><p>icmp-block: icmp 报文过滤,按照 icmp 类型配置</p><p>masquerade: ip 地址伪装</p><p>forward-port: 端口转发</p><p>rule: 自定义规则</p><p>其它命令</p><p># 查看是否开启</p><p>systemctl status firewalld.service</p><p># 打开防火墙</p><p>systemctl start firewalld.service</p><p># 停用防火墙</p><p>systemctl disable firewalld</p><p># 禁用防火墙</p><p>systemctl stop firewalld.service</p><p># 开机启动</p><p>systemctl enable firewalld</p><p># 取消开机启动</p><p>systemctl disable firewalld</p><p># 查看运行状态</p><p>firewall-cmd --state</p><p># 查看接口信息</p><p>firewall-cmd --list-all</p><p># 更新防火墙规则方法1:无需断开连接,动态更改规则</p><p>firewall-cmd --reload</p><p># 更新防火墙规则方法2:断开连接,以重启的方式更改规则</p><p>firewall-cmd --complete-reload</p><p># 查看帮助</p><p>firewall-cmd --help</p><p>--zone=NAME # 指定 Zone</p><p>--permanent # 为永久生效</p><p>--timeout=seconds # 持续一段时间,到期后自动移除,经常用于调试,且不能与 --permanent 同时使用</p><p># 追加一个8181端口,永久有效</p><p>firewall-cmd --add-port=8181/tcp --permanent</p><p># 追加一段端口范围</p><p>firewall-cmd --add-port=6000-6600/tcp</p><p># 开放 ftp 服务</p><p>firewall-cmd --add-service=ftp</p><p># 添加eth0 接口至 public 信任等级,永久有效</p><p>firewall-cmd --zone=public --add-interface=eth0 --permanent</p><p># 配置 public zone 的端口转发</p><p>firewall-cmd --zone=public --add-masquerade</p><p># 然后转发 tcp 22 端口至 9527</p><p>firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=9527</p><p># 转发 22 端口数据至另一个 ip 的相同端口上</p><p>firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.123</p><p># 转发 22 端口数据至另一 ip 的 9527 端口上</p><p>firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=9527:toaddr=192.168.1.100</p><p># IP 封禁</p><p>firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.123' reject"</p><p># 通过 ipset 来封禁 ip</p><p>firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip</p><p>firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=192.168.1.123</p><p># 封禁网段</p><p>firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net</p><p>firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=192.168.1.0/24</p><p># 倒入 ipset 规则 blacklist,然后封禁 blacklist</p><p>firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklist.xml</p><p>firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'</p>