京峰jf2116-day64上課筆記iptables防火墻企業(yè)實(shí)戰(zhàn)

京峰JF2116-Day64上課筆記Iptables企業(yè)實(shí)戰(zhàn)1、Linux下IPtables企業(yè)案例含義:INPUT:INPUTACCEPT[0:0]#該規(guī)則表示INPUT表默認(rèn)策略是（[0:0]里記錄的就是通過該規(guī)則的數(shù)據(jù)包和字節(jié)總數(shù)。:FORWARDACCEPT0:0]#該規(guī)則表示FORWARD:OUTPUTACCEPT0:0]#該規(guī)則表示OUTPUT-AINPUT-mstate–stateESTABLISHED,RELATED-j-AINPUT-picmp-j-AINPUT-ilo-jACCEPT#意思就允許本地環(huán)回接口在INPUT表的所有數(shù)據(jù)通信，-i參數(shù)是指定接口，接口是lo，lo就是Loopback（本地環(huán)回接口-AINPUT-jREJECT–reject-withicmp-host--AFORWARD-jREJECT–reject-withicmp-host-#這兩條的意思是在INPT表和FRWARD表中所有其他不符合上述任何一條規(guī)則的數(shù)據(jù)包。并且發(fā)送一條hostrohbtd的消息給被的主機(jī)。下面來介紹一下，我添加的每個(gè)參數(shù)是什么意思，跟我沒講得允22端口的一-AINPUT-mstate–stateNEW-mtcp-ptcp–dport22-j-A最后添加一條規(guī)-j后面接動(dòng)作，主要的動(dòng)作有接受(ACCEPT)、丟棄(DROP(REJECT–dport限制目標(biāo)的 碼-p協(xié)定：設(shè)定此規(guī)則適用于哪種封包格式主要的封包格式tcpudp,icmp及all。-mstate–state模糊匹配一個(gè)狀態(tài)，NEW用戶發(fā)起一個(gè)全新的請(qǐng)求ESTABLISHED對(duì)一個(gè)全新的請(qǐng)求進(jìn)行回應(yīng)RELATED兩個(gè)完整連接之間的相互關(guān)系，一個(gè)完整的連接，需INVALID無(wú)法識(shí)別的狀態(tài)。2、IPtables企業(yè)案例規(guī)則實(shí)戰(zhàn)WEB服WEB服務(wù)器,開啟80端口[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport-j郵件服務(wù)器,開啟25,110端口[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport110-jACCEPT[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport-jFTP服務(wù)器,開啟21端[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport-j[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport-jDNS服務(wù)器,開啟53端[root@www-jfedu-net~]#iptables-AINPUT-ptcp--dport-j允許icmp包通過,也就是允,[root@www-jfedu-net~]#iptables-AOUTPUT-picmp-ACCEPT(OUTPUT設(shè)置成DROP[root@www-jfedu-net~iptablesAINPUTpicmpj 將本機(jī)的80端口轉(zhuǎn)發(fā)至其他主機(jī)，主機(jī)P：141，目標(biāo)主機(jī)P和端口：1.:8，規(guī)則如下；iptables-tnat-A -d41/32-p-mtcp--dport8080-jDNAT--to-destinationiptables-tnat-APOSTROUTING-d42/32-p-mtcp--dport80-jSNAT--to-source41echo1>/proc/sys/net/ipv4/ip_forward同時(shí)開啟iptablesforward轉(zhuǎn)發(fā)功能3、IPtables企業(yè)案例規(guī)則實(shí)戰(zhàn)[root@localhost~]#vim#Generatedbyiptables-savev1.4.7on[root@localhost~]#vim#Generatedbyiptables-savev1.4.7onWedDec1421:05:31:INPUTACCEPT:FORWARDACCEPT:OUTPUTACCEPT-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT-AINPUT-ilo-j-AINPUT-s46-j-AINPUT-s21-jACCEPT-AINPUT-picmp-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport22-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport80-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport443-j-AINPUT-s-ptcp-mstate--stateNEW-m--dport7001-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport8801-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport25-j-AINPUT-ptcp-mstate--stateNEW-mtcp--dport110-j-A-AINPUT-jREJECT--reject-withicmp-host--AFORWARD-jREJECT--reject-withicmp-host-prohibited#CompletedonWedDec1421:05:314、Firewalld入門簡(jiǎn)從CntS7開始,默認(rèn)是沒有iptabs的,而使用了frewal防火墻，F(xiàn)iwalD提供了支持網(wǎng)絡(luò)/區(qū)域zon)定義網(wǎng)絡(luò)以及接口安全等級(jí)的動(dòng)態(tài)管理工具。什么是動(dòng)態(tài)?回憶一下iptablesservice管理規(guī)則的模式：用戶將新的規(guī)則添加進(jìn)/etc/sysconfig/iptables配置文件當(dāng)中，再執(zhí)行命令serviceiptablesreload使變更的規(guī)則生這整個(gè)過程的背后，iptablesservice首先對(duì)舊的規(guī)則進(jìn)了需要reload內(nèi)核模塊的話，過程背后還會(huì)包含卸載和重新加載態(tài)的話，那么fwald所提供的模式就可以叫做動(dòng)態(tài)防火墻，它的出現(xiàn)就是為了解決這一問題，任何規(guī)則的變更都不需要對(duì)整個(gè)規(guī)則列表進(jìn)行重新加載，只需要將變更部分保存并更新到運(yùn)行中的iptables即可。firewalld和iptables之間的關(guān)系，firewalld提供了一個(gè)daemon和service，還有命令行和圖形界面配置工具，它僅僅是替代了iptablesservice部分，其底層還是使用iptables作為防火墻規(guī)則管理。firewalld使用python語(yǔ)言開發(fā)，在新版本中已經(jīng)計(jì)劃使用c++重寫daemon部分。5、什么是Firewalld將網(wǎng)卡對(duì)應(yīng)到不同的區(qū)域（zone），zone默認(rèn)共有9個(gè)blockdmzdropexternalhomeinternalpublictrusted不同的區(qū)域之間的差異是其對(duì)待數(shù)據(jù)包的默認(rèn)行為不同，根據(jù)區(qū)域名字我們可以很直觀的知道該區(qū)域的特征，在CntS7系統(tǒng)中，默認(rèn)區(qū)域被設(shè)置為publ在版本的fedora（fedora21）當(dāng)中隨著server版和workstation版的分化則添加了兩個(gè)不同的自定義zoneFedoraServer和FedoraWorkstation分別對(duì)應(yīng)兩個(gè)版本。使用下面令分別列出所有支持的zone和查看當(dāng)前的默[root@www-jfedu-net[root@www-jfedu-net~]#firewall-cmd--get-blockblockdmzdropexternalhomeinternalpublictrusted[root@www-jfedu-net~]#firewall-cmd--get-default-zone區(qū)域(zone)說明如下iptablesservice在/etc/sysconfig/iptables中配置firewalld將配置在/usr/lib/firewalld/和/etc/firewalld/中的各種XML文件里/t/frewald/的區(qū)域設(shè)定是一系列可以被快速執(zhí)行到網(wǎng)絡(luò)接口的預(yù)設(shè)定。列表并簡(jiǎn)要說明如下：drop（drop（丟棄任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出的網(wǎng)絡(luò)連接block（限制任何接收的網(wǎng)絡(luò)連接都被IPv4的icmp-host-prohibited信息IPv6的icmp6-adm-prohibited信息。public（公共在公共區(qū)域內(nèi)使用，不能相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)對(duì)您的計(jì)機(jī)造成危害，只能接收經(jīng)過選取的連接external（外部特別是為路由器啟用了過選擇的連接。dmz（非軍事區(qū) work（工作腦。僅僅接收經(jīng)過選擇的連接。home（家庭計(jì)算機(jī)。僅僅接收經(jīng)過選擇的連接。 trusted（信任可接受所有的網(wǎng)絡(luò)連指定其中一個(gè)區(qū)域?yàn)槟J(rèn)區(qū)域是可行的。當(dāng)接口連接加入了Ne指定其中一個(gè)區(qū)域?yàn)槟J(rèn)區(qū)域是可行的。當(dāng)接口連接加入了NetworkManar，它們就被分配為默認(rèn)區(qū)域。安裝時(shí)frewald里的默認(rèn)區(qū)域被設(shè)定為公共區(qū)域。6、什么是服務(wù)usr/lib/firewalld/services/中，還保存了另外一類配置文件，每個(gè)文件對(duì)應(yīng)一項(xiàng)具體的網(wǎng)絡(luò)服務(wù)，如ssh服務(wù)等.與之對(duì)應(yīng)的配置文件中記錄了各項(xiàng)服務(wù)所使用的tcp/udp端口，在版本的firewalld中默認(rèn)已經(jīng)定義了70+種服務(wù)供我們使當(dāng)默認(rèn)提供的服務(wù)不夠用或者需要自定義某項(xiàng)服務(wù)的端口時(shí)，我們需要將serve配置文件放置在/t/firewald/sris/中.service配置的好處顯第一，通過服務(wù)名字來管理規(guī)則更加人性化口的規(guī)則管理的批量操作快捷方式。每加載一項(xiàng)service配置就意味著開放了對(duì)應(yīng)的端口，使用下面令分別列出所有支持的service和查看當(dāng)前zone種加載的[root@www-jfedu-net~]#firewall-cmd--get- lite-6amanda-clientbaculabacula-clientdhcpdhcpv6dhcpv6-clientdnsftphigh-availabilityhttphttpsimapsippipp-clientipseckerberoskpasswdldapldapslibvirtlibvirt-tlsmdnsmountdms-wbtmysqlnfsntpopen pmproxypmwebapipmwebapispop3spostgresqlproxy-dhcpradiusrpc-bindsambasamba-clientsmtpssh nettftptftp-clienttransmission-clientvnc-serverwbem-https[root@www-jfedu-net~]#firewall-cmd--list-servicesdhcpv6-clientssh動(dòng)態(tài)添加一條規(guī)則如下假設(shè)自定義的ssh端 為12222，使用下面令來添加新端口的規(guī)則：firewall-cmd--add-port=12222/tcp--如果需要使規(guī)則保存到zone配置文件，則需要加參數(shù)–舉例如下[root@www-jfedu-net[root@www-jfedu-netzones]#firewall---add-[root@www-jfedu-netzones]#<?xmlversion="1.0"encoding="utf-<description>Foruseinpublicareas.YoudonottrustothercomputersonnetworkstonotharmyourOnlyingconnections<servicename="dhcpv6-<service[root@www-jfedu-net[root@www-jfedu-netzones]#firewall---add-port=12222/tcp--[root@www-jfedu-netzones]#<?xmlversion="1.0"encoding="utf-<description>Foruseinpublicareas.YoudonottrustothercomputersonnetworkstonotharmyourOnlyingconnections<servicename="dhcpv6-<service<portprotocol="tcp"#注意:配置文件也可以手動(dòng)修改,修改后記得重載,重載方法7、Firewalld必備命#關(guān)#關(guān)閉[root@www-jfedu-netzones]#systemctlstop#啟動(dòng)[root@www-jfedu-netzones]#systemctlstart#把firewalld加入到系統(tǒng)[root@www-jfedu-netzones]#systemctl#從系統(tǒng)服務(wù)[root@www-jfedu-netzones]#systemctlrmrm'/etc/systemd/system/dbus-#查看firewalld狀態(tài)兩種方法2選1即[root@www-jfedu-netzones]#firewall-cmd--[root@www-jfedu-netzones]#systemctlstatusfirewalldfirewalld.service-firewalld-dynamicfirewalldaemon#重讀#以root輸入以下命令，重新加載，并不中斷用戶連[root@www-jfedu-net[root@www-jfedu-net~]#firewall-cmd--#以root輸入以下信息，重新加載并中斷用戶連接，[root@www-jfedu-net[root@www-jfedu-net~]#firewall-plete-#注意:通常在出現(xiàn)嚴(yán)重問題時(shí)，這個(gè)命令才會(huì)被使用。比如，規(guī)則是正確的，但卻出現(xiàn)狀態(tài)信息問題和無(wú)法建立連8、Firewalld區(qū)域操#獲取支持的區(qū)域(zone)列[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-cmd--get-blockdmzdropexternalhomeinternalpublictrusted#獲取所有支持的服[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-cmd--get-RH- lite-6amanda-clientbaculabacula-clientdhcpv6dhcpv6-clientdnsftphigh-availabilityhttpimapsippipp-clientipseckerberoskpasswdldapldapslibvirt-tlsmdnsmountdms-wbtmysqlnfsntppmproxypmwebapipmwebapispop3spostgresqlproxy-radiusrpc-bindsambasamba-clientsmtpnettftp-clienttransmission-clientvnc-serverwbem-#獲取所有支持的ICMP類[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-cmd--get-destination-unreachableecho-replyecho-requestparameter-problemredirectrouter-advertisementrouter-solicitationsource-quenchtime-exceeded#列出全部啟用的區(qū)域的特[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-cmd--list-all-#輸出格式是：#輸出格式是：interfaces:<interface1>..services:<service1>..ports:<port1>..forward-ports:<forwardport1>icmp-blocks:<icmptype1>#輸出區(qū)域<zone>全部啟用的特性。如果生略區(qū)域，將顯示默firewall-cmd[–zone=<zone>]–list-[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-cmd--list-allpublic(default,active)interfaces:eno16777736services:dhcpv6-clientmasquerade:masquerade:noicmp-rich[root@www-jfedu-netzones]#firewall-cmd--services:dhcpv6-clientipp-clientsshmasquerade:norich#獲取默認(rèn)區(qū)域的網(wǎng)絡(luò)設(shè)[root@www-jfedu-net[root@www-jfedu-netzones]#firewall---get-default-#設(shè)置默認(rèn)區(qū)[root@www-jfedu-net[root@www-jfedu-netzones]#firewall---set-default-#注意:流入默認(rèn)區(qū)域中配置的接口的新請(qǐng)求將被置入新的默認(rèn)#獲取活動(dòng)的[root@www-jfedu-net[root@www-jfedu-netzones]#firewall-interfaces:#根據(jù)接口獲取區(qū)firewall-cmd–get-zone-of-[root@www-jfedu-net[root@www-jfedu-netzones]#firewall---get-zone-of---get-zone-of-##以下關(guān)于區(qū)域和接口的操作,可以根據(jù)實(shí)際情況修改.#將接口增加到區(qū)域firewall-cmdfirewall-cmd[--zone=<zone>]--add-#如果接口不屬于區(qū)域，接口將被增加到區(qū)域。如果區(qū)域被省略#修改接口所屬區(qū)firewall-cmdfirewall-cmd[--zone=<zone>]--change->#這個(gè)選項(xiàng)與–add-interface選項(xiàng)相似，但是當(dāng)接口已經(jīng)存在于#從區(qū)域中刪除一個(gè)firewall-cmdfirewall-cmd[--zone=<zone>]--remove->#查詢區(qū)域中是否包含某接firewall-cmdfirewall-cmd[--zone=<zone>]--query-#注意:返回接口是否存在于該區(qū)域。沒有輸出#列舉區(qū)域中啟用的firewall-cmdfirewall-cmd[--zone=<zone>]--list-#這兩條簡(jiǎn)單點(diǎn)說,就是斷網(wǎng)#啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接，以防出現(xiàn)緊急狀firewall-cmdpanic-on#禁用應(yīng)急模式firewall-cmdpanic-off#查詢應(yīng)急模式firewall-cmdquery-panic#啟用區(qū)域中的一種服務(wù)firewall-cmd[--zone=<zone>]--add-service=<service>[--ti#此舉啟用區(qū)域中的一種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)活躍，將不會(huì)有任何警告信息。#例:使區(qū)域中的ipp-client服務(wù)生效60秒firewall-cmd--zone=home--add-service=ipp-client--timeou#例:啟用默認(rèn)區(qū)域中的http服務(wù)firewall-cmdadd-service=http#禁用區(qū)域中的某種服務(wù)firewall-cmd[--zone=<zone>]--remove-#此舉禁用區(qū)域中的某種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)#例:home區(qū)域中的http服務(wù)firewall-cmd--zone=home--remove-#區(qū)域種的服務(wù)將被禁用。如果服務(wù)沒有啟用，將不會(huì)有任何警告#查詢區(qū)域中是否啟用了特定服firewall-cmdzone=<zonequery-service=<service>#如果服務(wù)啟用，將返回1,否則返回0。沒有輸出信息。#啟用區(qū)域端口和協(xié)議組firewall-cmd[--zone=<zone>]--add-port=<port>[-<protocol>[--#此舉將啟用端口和協(xié)議的組合。端口可以是一個(gè)單獨(dú)的端<port>或者是一個(gè)端口范圍<port>-<port>。協(xié)議可以是或udp#禁用端口和協(xié)議組firewall-cmd[--zone=<zone>]--remove-port=<port>[-#查詢區(qū)域中是否啟用了端口和協(xié)議組firewall-cmd[--zone=<zone>]--query-port=<port>[-#如果啟用，此命令將有返回值。沒有輸出信#啟用區(qū)域中的IP功firewall-cmd[--zone=<zone>]--add-#此舉啟用區(qū)域的功能。私有網(wǎng)絡(luò)的地址將被隱藏并到一#禁用區(qū)域中的IPfirewall-cmdzone=<zoneremove-masquerade#查詢區(qū)域的狀態(tài)firewall-cmdzone=<zonequery-masquerade#如果啟用，此命令將有返回值。沒有輸出信息。#啟用區(qū)域的ICMP阻塞功firewall-cmd[--zone=<zone>]--add-icmp->#此舉將啟用選中的Internet控制報(bào)文協(xié)議（ICMP）報(bào)文進(jìn)行阻塞。ICMP報(bào)文可以是請(qǐng)求信息或者創(chuàng)建的應(yīng)答報(bào)文，以及錯(cuò)誤#區(qū)域的ICMP阻塞功firewall-cmd[--zone=<zone>]--remove-icmp-block=<icmpt#查詢區(qū)域的ICMP阻塞功firewall-cmd[--zone=<zone>]--query-icmp-block=<icmpty#如果啟用，此命令將有返回值。沒有輸出信#例:阻塞區(qū)域的響應(yīng)應(yīng)答報(bào)firewall-cmdzone=publicadd-icmp-block=echo-reply#在區(qū)域中啟用端口轉(zhuǎn)發(fā)或firewall-cmd[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}#端口可以到另一臺(tái)主機(jī)的同一端口，也可以是同一主機(jī)或另 可以是一個(gè)單獨(dú)的端口<port>或者是端口范圍<port>-<port>。協(xié)議可以為tcp或udp。目標(biāo)端口 <port>或者是端口范圍<port>-<port>。目標(biāo)地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4#區(qū)域的端口轉(zhuǎn)發(fā)或者端口firewall-cmd[--zone=<zone>]--remove-forward-<port>[-<port>]:proto=<protocol>{:toport=<port>[->]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}#查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口firewall-cmd[--zone=<zone>]--query-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}#如果啟用，此命令將有返回值。沒有輸出信#例:將區(qū)域home的ssh轉(zhuǎn)發(fā)到firewall-cmd--zone=home--add-forward-port=port=22:prot9、Firewalld設(shè)務(wù)時(shí)可用。為了使用運(yùn)行時(shí)和設(shè)置，需要分別設(shè)置兩者。選--permanent需要是設(shè)置的第一個(gè)參數(shù)#獲取選項(xiàng)所支持的服務(wù)firewall-cmdpermanentget-services#獲取選項(xiàng)所支持的ICMP類型列表firewall-cmdpermanentget-icmptypes#獲取支持的區(qū)域firewall-cmdpermanentget-zones#啟用區(qū)域中的服務(wù)firewall-cmd--permanent[--zone=<zone>]--add-service=<#此舉將啟用區(qū)域中的服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)#禁用區(qū)域中的一種firewall-cmd--permanent[--zone=<zone>]--remove-#查詢區(qū)域中的服務(wù)是否啟firewall-cmd--permanent[--zone=<zone>]--query-#如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息#例:啟用home區(qū)域中的ipp-client服firewall-cmd--permanent--zone=home--add-service=ipp-cl#啟用區(qū)域中的一個(gè)端口-協(xié)議組firewall-cmd--permanent[--zone=<zone>]--add-port=<por#禁用區(qū)域中的一個(gè)端口-協(xié)議組firewall-cmd--permanent[--zone=<zone>]--remove-<port>[-#查詢區(qū)域中的端口-協(xié)議組合是否啟firewall-cmd--permanent[--zone=<zone>]--query-port=<p#如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息#例:啟用home區(qū)域中的https(tcp443)端firewall-cmdpermanentzone=homeadd-port=443/tcp#啟用區(qū)域中的firewall-cmd--permanent[--zone=<zone>]--add-masquera#此舉啟用區(qū)域的功能。私有網(wǎng)絡(luò)的地址將被隱藏并到一#禁用區(qū)域中firewall-cmd--permanent[--zone=<zone>]--remove-masqu#查詢區(qū)域中的的狀firewall-cmd--permanent[--zone=<zone>]--query-masquer#如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息#啟用區(qū)域中的ICMP阻firewall-cmd--permanent[--zone=<zone>]--add-icmp-bloc#此舉將啟用選中的Internet控制報(bào)文協(xié)議（ICMP）報(bào)文進(jìn)行阻塞。ICMP報(bào)文可以是請(qǐng)求信息或者創(chuàng)建的應(yīng)答報(bào)文或錯(cuò)誤應(yīng)答#禁用區(qū)域中的ICMP阻firewall-cmd--permanent[--zone=<zone>]--remove-icmp-b#查詢區(qū)域中的ICMP狀firewall-cmd--permanent[--zone=<zone>]--query-icmp-bl#如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息#例:阻塞公共區(qū)域中的響應(yīng)應(yīng)答報(bào)firewall-cmd--permanent--zone=public--add-icmp-block=e#在區(qū)域中啟用端口轉(zhuǎn)發(fā)或firewall-cmd--permanent[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}#端口可以到另一臺(tái)主機(jī)的同一端口，也可以是同一主機(jī)或另 可以是一個(gè)單獨(dú)的端口<port>或者是端口范圍<port>-<port>。協(xié)議可以為tcp或udp。目標(biāo)端口 <port>或者是端口范圍<port>-<port>。目標(biāo)地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4#區(qū)域的端口轉(zhuǎn)發(fā)或者端口firewall-cmd--permanent[--zone=<zone>]--remove-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>#查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口狀firewall-cmd--permanent[--zone=<zone>]--query-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>#如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息#例:將home區(qū)域的ssh服務(wù)轉(zhuǎn)發(fā)到firewall-cmd--permanent--zone=home--add-forward-##直接選#直接選項(xiàng)主要用于使服務(wù)和應(yīng)用程序能夠增加規(guī)則。規(guī)則不會(huì)被<args>與iptables,ip6tables以及ebtables一致#選項(xiàng)–direct需要是直接選項(xiàng)的第一個(gè)參數(shù)#將命令傳遞給。參數(shù)<args>可以是iptables,ip6tables以及ebtables命令行參數(shù)。firewall-cmddirectpassthroughipv4|ipv6|eb<args>#為表<table>增加一個(gè)新鏈<chain>。firewall-cmd--direct--add-chain{ipv4|ipv6|eb}<table><#從表<table>中刪除鏈<chain>。firewall-cmd--direct--remove-chain{ipv4|ipv6|eb}>#查詢<chain>鏈?zhǔn)欠翊嬖谂c表<table>.如果是，返回0,否則firewall-cmd--direct--query-chain{ipv4|ipv6|eb}#如果啟用，此命令將有返回值。此命令沒有輸出信#獲取用空格分隔的表<table>中鏈的列表firewall-cmd--direct--get-chains{ipv4|ipv6|eb}#為表<table>增加一條參數(shù)為<args>的鏈<chain>，優(yōu)先級(jí)設(shè)定為<priority>。firewall-cmd--direct--add-rule{ipv4|ipv6|eb}<table><chain><priority><args>#從表<table>中刪除帶參數(shù)<args>的鏈<chainfirewall-cmd--direct--remove-rule{ipv4|ipv6|eb}<chain>#查詢帶參數(shù)<args>的鏈<chain>是否存在表<table>中.firewall-cmd--direct--query-rule{ipv4|ipv6|eb}<chain>#如果啟用，此命令將有返回值。此命令沒有輸出信#獲取表<table>中所有增加到鏈<chain>的規(guī)則，并用換行firewall-cmd--direct--get-rules{ipv4|ipv6|eb}<table><c10、Firewalld配置文件實(shí)系統(tǒng)本身已經(jīng)內(nèi)置了一些常用服務(wù)的規(guī)則,存放/usr/lib/firewalld/services/（模板服務(wù)配置路徑）注意，修改/usr/lib/firewalld/services/，只[root@www-jfedu-net~]#ls/usr/lib/firewalld/services/amanda-client.xmldhcpv6.xmlhigh-availability.xmlipp-client.xmlkpasswd.xml[root@www-jfedu-net~]#ls/usr/lib/firewalld/services/amanda-client.xmldhcpv6.xmlhigh-availability.xmlipp-client.xmlkpasswd.xmllibvirt.xmlmysql.xmlpmcd.xmlpop3s.xmlRH-Sa lite-6.xmlsmtp.xmltftp.xmlbacula-client.xmldhcp.xmlhttps.xmlipp.xmlldaps.xmlmdns.xmlnfs.xmlpmproxy.xmlpostgresql.xmlrpc-bind.xmlssh.xmltransmission-client.xmlbacula.xmldns.xmlhttp.xmlipsec.xmlldap.xmlmountd.xmlntp.xmlpmwebapis.xmlproxy-dhcp.xmlsamba-client.xmlnet.xmlvnc-dhcpv6-client.xmldhcpv6-client.xmlftp.xmlimaps.xmllibvirt--wbt.xml.xmlradius.xmlsamba.xmltftp-client.xmlwbem-以下例子均以系統(tǒng)自帶的publiczone為例子如果想開放80端口供http服務(wù),例子如將http.xml到/etc/firewalld/services/下面,以服務(wù)形式管理,#這個(gè)cp命令其實(shí)是可以省略的,系統(tǒng)會(huì)優(yōu)先去/etc/firewalld里面的文件,完畢后,會(huì)去/usr/lib/firewalld/services/再次.[root@www-jfedu-net[root@www-jfedu-net~]#[root@www-jfedu-net~]#ls/etc/firewalld/services/[root@www-jfedu-net~]#lspublic.xml修改public.xml,加入http服catcat<?xml<?xmlversion="1.0"encoding="utf-<description>Foruseinpublicareas.YoudonottrustothercomputersonnetworkstonotharmyourOnlyingconnections<servicename="dhcpv6-<service<servicename="http"/>/etc/firewalld/services/重新載入兩條命令都可以root輸入以下命令，重新加載，并不中斷用戶連[root@www-jfedu-net~]#firewall-cmd--reload以root輸入以下信息，重新加載并中斷用戶連接，即[root@www-jfedu-net~]#firewall-cmd 注意:通常在出現(xiàn)嚴(yán)重問題時(shí)，這個(gè)命令才會(huì)被使用。比如，修改ssh的端口方ssh.xml文件到[root@www-jfedu-net~]#/usr/lib/firewalld/services/ssh.xml修改ssh.xml文件12222為ssh端[root@www-jfedu-net[root@www-jfedu-net~]#cat<?xmlversion="1.0"encoding="utf-<description>Secure(SSH)isaprotocolforloggingandexecutingcommandsonremotemachines.Itsecureencryptedcommunications.Ifyouplanonyouryourmachine yviaSSHoverainterface,enablethisoption.Youneedtheopenssh-serverpackageinstalledforthisoptiontobeuseful.</description><portprotocol="tcp"重新載入兩條命令都可以root輸入以下命令，重新加載，并不中斷用戶連[root@www-jfedu-net~]#firewall-cmd--reload以root輸入以下信息，重新加載并中斷用戶連接，即[root@www-jfedu-net~]#firewall-cmd 注意:通常在