systemctl status firewalld
#或者
firewall-cmd --state
systemctl start firewalld.service
若无法启动,按顺序执行如下命令:
systemctl unmask firewalld.service
systemctl start firewalld.service
systemctl stop firewalld.service
systemctl retart firewalld.service
#或者
firewall-cmd --reload
systemctl enable firewalld.service
systemctl disable firewalld.service
systemctl is-enabled firewalld.service
firewall-cmd --query-port=80/tcp
firewall-cmd --list-port
#--permanent永久生效,没有此参数重启后失效,格式为:端口/通讯协议
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --remove-port=80/tcp --permanent
# 或者
firewall-cmd --permanent --remove-port=123/tcp #永久生效,没有permanent参数重启后失效
防火墙操作命令
firewall-cmd
--zone #作用域
--add-port=80/tcp #添加端口,格式为:端口/通讯协议
--remove-port=80/tcp #移除端口,格式为:端口/通讯协议
--permanent #永久生效,没有此参数重启后失效
--list-port #开放端口
--query-port=80/tcp #查询端口
--version #查看版本
--help #查看帮助文档
--state #显示状态
--reload #更新防火墙
--get-active-zones #查看区域信息
--panic-on #拒绝所有包
--panic-off #取消拒绝状态
--query-panic #查看是否拒绝
service iptables status
service iptables start
service iptables stop
chkconfig -add iptables
chkconfig -del iptables
centos6的服务启动脚本都放在/etc/rc.d/init.d/下,/etc/init.d/是/etc/rc.d/init.d/的软链接;
chkconfig --list
语法格式
iptables [-t 表名] 命令选项 [链名][条件匹配] [-j 目标动作或跳转]
-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表
命令选项:子命令,定义对规则的管理
链名:规则链,与规则表配合
条件匹配:匹配参数
ACTION:触发动作
示例
iptables -t filter -I INPUT -s 192.xx.xxx.xxx -p tcp --dport 3306 -j ACCEPT
规则表
| 名称 | 包含的链表 | 描述 |
|---|---|---|
| filter | INPUT、FORWARD、OUTPUT | 过滤数据包 |
| Nat | PREROUTING、POSTROUTING、OUTPUT | 用于网络地址转换(IP、端口) 内核模块:iptable_nat |
| Mangle | PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD | 修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它) |
| Raw | OUTPUT、PREROUTING | 决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw |
命令选项规则
| 选项 | 功能 |
|---|---|
| -A | 添加防火墙规则 |
| -D | 删除防火墙规则 |
| -I | 插入防火墙规则 |
| -F | 清空防火墙规则 |
| -L | 列出添加防火墙规则 |
| -R | 替换防火墙规则 |
| -Z | 清空防火墙数据表统计信息 |
| -P | 设置链默认规则 |
规则链详情
| 名称 | 描述 |
|---|---|
| INPUT | 进来的数据包应用此规则链中的策略 |
| OUTPUT | 外出的数据包应用此规则链中的策略 |
| FORWARD | 转发数据包时应用此规则链中的策略 |
| PREROUTING | 对数据包作路由选择前应用此链中的规则 |
| POSTROUTING | 对数据包作路由选择后应用此链中的规则 |
条件匹配
| 参 数 | 功 能 |
|---|---|
| [!]-p | 匹配协议,! 表示取反 |
| [!]-s | 匹配源地址 |
| [!]-d | 匹配目标地址 |
| [!]-i | 匹配入站网卡接口 |
| [!]-o | 匹配出站网卡接口 |
| [!]–sport | 匹配源端口 |
| [!]–dport | 匹配目标端口 |
| [!]–src-range | 匹配源地址范围 |
| [!]–dst-range | 匹配目标地址范围 |
| [!]–limit | 四配数据表速率 |
| [!]–mac-source | 匹配源MAC地址 |
| [!]–sports | 匹配源端口 |
| [!]–dports | 匹配目标端口 |
| [!]–stste | 匹配状态(INVALID、ESTABLISHED、NEW、RELATED) |
| [!]–string | 匹配应用层字串 |
目标动作或跳转
| 触发动作 | 功 能 |
|---|---|
| ACCEPT | 允许数据包通过 |
| DROP | 丢弃数据包 |
| REJECT | 拒绝数据包通过 |
| LOG | 将数据包信息记录 syslog 曰志 |
| DNAT | 目标地址转换 |
| SNAT | 源地址转换 |
| MASQUERADE | 地址欺骗 |
| REDIRECT | 重定向 |