Linux防火墙

一、防火墙的开启、关闭、禁用命令

1. 设置开机启用防火墙：systemctl enable firewalld.service

2. 设置开机禁用防火墙：systemctl disable firewalld.service

3. 启动防火墙：systemctl start firewalld 或 service firewalld start

4. 关闭防火墙：systemctl stop firewalld 或 service firewalld stop

5. 检查防火墙状态：systemctl status firewalld

二、使用firewall-cmd配置端口

1. 查看防火墙状态：firewall-cmd --state

2. 重新加载配置：firewall-cmd --reload

3. 查看开放的端口：firewall-cmd --list-ports

4. 开启防火墙端口：firewall-cmd --zone=public --add-port=9200/tcp --permanent

    命令含义：
    –zone #作用域
    –add-port=9200/tcp #添加端口，格式为：端口/通讯协议
    –permanent #永久生效，没有此参数重启后失效
    注意：添加端口后，必须用命令firewall-cmd --reload重新加载一遍才会生效

5. 关闭防火墙端口：firewall-cmd --zone=public --remove-port=9200/tcp --permanent

三、防火墙策略rich-rule

正常情况是服务开启3306端口，但是现在是 只想让某个ip访问3306，也就是3306只给固定的IP开放，然后别的ip就访问不到。

3.1 添加允许规则:add-rich-rule accept

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

3.2 移除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.11.8" port protocol="tcp" port="3306" accept"

3.3 添加拒绝策略:reject

firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.200.113 reject"

3.4 重启

firewall-cmd  --reload

3.5 查看

firewall-cmd --list-all --zone=public