防火墙相关命令

---------------------------------------------centos6 防火墙相关命令---------------------------------------------------------------------------------

#查看防火墙状态

service iptables status

#关闭防火墙

service iptables stop

#打开防火墙

service iptables start

#添加规则

vim /ets/sysconfig/iptables

-A INPUT -m state--state NEW -m tcp -p tcp --dport 22 -j ACCEPT

#重启服务器

service iptables restart

----------------------------------------------centos7 防火墙相关命令---------------------------------------------------------------------------------

#查看防火墙状态

systemctl status firewalld.service

#关闭防火墙

systemctl stop firewalld.service

#禁用防火墙

systemctl disable firewalld.service

#打开防火墙

systemctl start firewalld.service 

#防火墙添加规则

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="0000" accept"

#防火墙移除规则

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="0000" accept"

#reload使生效

firewall-cmd --reload

#查询防火墙配置

firewall-cmd --zone=public --list-all

#允许防火墙伪装IP

firewall-cmd --add-masquerade --permanent

#防火墙移除伪装IP

firewall-cmd --remove-masquerade --permanent

#端口转发

firewall-cmd --permanent --zone=public --add-forward-port=port=xxxx:proto=tcp:toaddr=xxx.xxx.xxx.xxx:toport=xxxx

#移除端口转发

firewall-cmd --permanent --zone=public --remove-forward-port=port=xxxx:proto=tcp:toaddr=xxx.xxx.xxx.xxx:toport=xxxx

#开放端口

firewall-cmd --zone=public --add-port=xxxx/tcp --permanent

#移除开发端口

firewall-cmd --zone=public --remove-port=xxxx/tcp --permanent

#其他

zone参数：硬件防火墙默认一般有三个区，firewall引入这一概念系统默认存在以下区域：

    drop：默认丢弃所有包

    block：拒绝所有外部连接，允许内部发起的连接

    public：指定外部连接可以进入

    external：这个不太明白，功能上和上面相同，允许指定的外部连接

    dmz：和硬件防火墙一样，受限制的公共连接可以进入

    work：工作区，概念和workgoup一样，也是指定的外部连接允许

    home：类似家庭组

    internal：信任所有连接