【Linux】—管理、设置防火墙规则（firewalld详解）

一、firewalld1.1 服务的启动、停止1.2 查看和设置默认区域1.3 使用firewalld进行规则配置1.4 重新加载防火墙配置1.5 查询已开放的端口、已允许的服务

在Linux系统中，你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具，而iptables是一个更底层的工具，可以直接配置Linux内核的防火墙规则。

<code>在RHEL 6.9及更早版本中，使用的是iptables作为防火墙管理工具，而在RHEL 7及更新版本中则使用Firewalld。

一、firewalld

1、firewalld是Red Hat系列Linux发行版（如Fedora、CentOS等）引入的一种动态防火墙管理工具，它使用iptables作为底层实现。

2、firewalld提供了一个基于区域（zone）和服务（service）的简化配置界面，使得管理防火墙规则更加容易。

3、它支持动态更新防火墙规则，可以在运行时添加、删除、修改规则，而不需要重新加载整个防火墙配置。

4、firewalld的配置文件位于 /etc/firewalld/ 目录下，主要是一些XML格式的文件，如 zones、services、richrules 等。

1.1 服务的启动、停止

1、启用/禁用防火墙：

systemctl start firewalld

systemctl stop firewalld

2、设置防火墙开机启动：

systemctl enable firewalld

3、禁用firewall防火墙（开机不启动）

systemctl disabled firewalld

4、防火墙状态查看

systemctl status firewalld

或者

firewall-cmd --state

5、版本查看

firewall-cmd --version

1.2 查看和设置默认区域

<code>1、查看默认区域

firewall-cmd --get-default-zone

2、查看所有可用的区域

firewall-cmd --get-zones

3、查看当前活动区域

firewall-cmd --get-active-zones

4、查看特定区域支持的所有特性

firewall-cmd --zone=zone_name --list-all ##其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有特性，可以运行以下命令：

firewall-cmd --zone=public --list-all

这将列出"public"区域支持的所有特性，包括开放的端口、允许的服务等信息。

5、查看特定区域支持的所有服务

firewall-cmd --zone=zone_name --list-services

其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有服务，可以运行以下命令：

firewall-cmd --zone=public --list-services

这将列出"public"区域支持的所有服务。

6、设置默认区域

firewall-cmd --set-default-zone=your_zone

其中，your_zone 是你想要设置的默认区域的名称，比如 public、internal、dmz 等。

1.3 使用firewalld进行规则配置

1、添加规则：

1、开放端口：

<code>

firewall-cmd --zone=public --add-port=80/tcp --permanent

–zone=public：指定了要修改的防火墙区域，这里是"public"区域，你可以根据需要修改为其他区域名称。

–add-port=80/tcp：表示要开放的端口为80，使用的协议为TCP。你可以根据实际情况修改端口号和协议类型。如果你想同时开放UDP端口，可以在端口号后面加上"/udp"。

–permanent：表示将修改永久保存到防火墙配置中，使得重启后仍然生效。

这个命令的作用是将TCP端口80开放在指定的防火墙区域中，允许外部主机访问该端口。

2、允许服务：

firewall-cmd --zone=public --add-service=http --permanent

–zone=public：同样是指定要修改的防火墙区域，这里也是"public"区域。

–add-service=http：表示要允许的服务为HTTP，Firewalld提供了一系列预定义的服务名称，这里使用了"http"服务名称，代表HTTP服务。你也可以使用其他预定义服务名称，如"https"、"ssh"等。

–permanent：同样表示将修改永久保存到防火墙配置中。

这个命令的作用是允许HTTP服务在指定的防火墙区域中，允许外部主机访问HTTP服务。

2、删除规则：

要删除Firewalld中的规则，可以使用以下命令：

1、删除端口规则：

firewall-cmd --zone=zone_name --remove-port=port/tcp --permanent

其中：

zone_name 是要操作的防火墙区域的名称。

port 是要删除的端口号。

tcp 是要删除的协议类型，如果端口是UDP的，就使用 udp。

例如，要删除在"public"区域中永久开放的TCP端口80的规则，可以运行：

firewall-cmd --zone=public --remove-port=80/tcp --permanent

2、删除服务规则：

firewall-cmd --zone=zone_name --remove-service=service_name --permanent

其中：

zone_name 是要操作的防火墙区域的名称。

service_name 是要删除的服务名称。

例如，要删除在"public"区域中永久允许的HTTP服务规则，可以运行：

firewall-cmd --zone=public --remove-service=http --permanent

1.4 重新加载防火墙配置

无论是添加还是删除规则后，都需要重新加载防火墙配置才能使更改生效：

<code>firewall-cmd --reload

1.5 查询已开放的端口、已允许的服务

1、查询已开放的端口：

firewall-cmd --zone=zone_name --list-ports

##其中： zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经开放的端口，可以运行：

firewall-cmd --zone=public --list-ports

这将列出该区域中已经开放的所有端口。

2、查询防火墙是否已打开特定端口：

firewall-cmd --query-port=端口/tcp

例如，要查询端口号 80 是否已打开，可以执行以下命令：

firewall-cmd --query-port=80/tcp

这将返回 yes 或 no，指示端口 80 是否已在防火墙中打开。

3、查询已允许的服务：

firewall-cmd --zone=zone_name --list-services

##其中：zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经允许的服务，可以运行：

firewall-cmd --zone=public --list-services

这将列出该区域中已经允许的所有服务。