FIREWALLD防火墙 - Linux

#安装
	yum install firewalld

---
#启动与停止服务
	systemctl start firewalld
	systemctl stop firewalld
	systemctl enable firewalld
	systemctl disable firewalld
	systemctl is-enabled firewalld
	
	
---
#ZONE说明
>##firewalld默认有9个zone,默认zone为public

---
#FIREWALLD命令

firewall-cmd [--zone=zone] 动作 [--permanent] 
	#注：如果不指定--zone选项，则为当前所在的默认区域。
	--permanent		#是否将改动写入到区域配置文件中
	------------------------------------------------------------
	--state 
	#查看防火墙的状态
	--reload 
	#重新加载防火墙，中断用户的连接，将临时配置清掉，加载配置文件中的永久配置
	--complete-reload 
	#重新加载防火墙，不中断用户的连接（防火墙出严重故障时使用）
	--panic-on 
	#紧急模式，强制关闭所有网络连接,--panic-off是关闭紧急模式
	------------------------------------------------------------
	--get-icmptypes 
	#查看支持的所有ICMP类型
	--get-zones 
	#查看所有区域
	--get-default-zone 
	#查看当前的默认区域
	--set-default-zone=work 
	#更改默认的区域
	--get-active-zones 
	#查看当前正在使用的区域
	--get-zone-of-interface=<interface>
	#查询某个接口与那个zone匹配
	--get-zone-ofsource=<source>[/<mask>]
	#查询某个源地址与哪个zone匹配
	--get-services 
	#查看当前区域支持的服务
	--list-services 
	#查看当前区域开放的服务列表
	--list-all 
	#查看此区域内的所有配置，类似与iptables -L -n
	------------------------------------------------------------
	--add-interface=eth0 
	#将网络接口添加到默认的区域内
	--add-port=12222/tcp --permanent 
	#添加端口到区域开放列表中
	--add-port=5000-10000/tcp --permanent 
	#将端口范围添加到开放列表中；
	--add-service=ftp --permanent 
	#添加服务到区域开放列表中（注意服务的名称需要与此区域支持的服务列表中的名称一致）
	--add-source=192.168.1.1 
	#添加源地址的流量到指定区域
	--remove-source=192.168.1.1 
	#删除源地址的流量到指定区域
	--change-interface=eth1 
	#改变指定的接口到其他区域
	--remove-service=http 
	#在home区域内将http服务删除在开放列表中删除
	--add-masquerade 
	#开启SNAT（源地址转换）
	--query-masquerade 
	#查询SNAT的状态
	--remove-interface=eth0 
	#将网络接口在默认的区域内删除
	--query-interface=eth0 
	#确定该网卡接口是否存在于此区域 
	--add-forward-port=port=513:proto=tcp:toport=22:toaddr=192.168.100.101 
	#端口转发
	------------------------------------------------------------

#FIREWALLD常用命令
	firewall-cmd --state
	#查看状态
	firewall-cmd --reload
	#重载规则
	firewall-cmd --panic-on
	#拒绝所有包
	firewall-cmd --panic-off
	#取消拒绝所有包
	firewall-cmd --query-panic
	#查看是否拒绝
---
	firewall-cmd --list-services  --zone=public
	#查看指定zone开放的服务列表
	firewall-cmd --add-service=ftp --zone=public
	#在public这个zone中添加允许访问FTP服务的规则
	firewall-cmd --remove-service=ftp --zone=public
	#在public这个zone中删除允许访问FTP服务的规则
---
	firewall-cmd --list-ports --zone=public
	#查看指定zone开放的端口列表
	firewall-cmd --add-port=3306/tcp --zone=public
	#在public这个zone中添加允许访问3306端口的规则
	firewall-cmd --remove-port=3306/tcp  --zone=public
	#在public这个zone中删除允许访问3306端口的规则
---
	firewall-cmd --add-source=192.168.31.88 --zone=work
	#将源IP地址192.168.31.88与public绑定，以后该主机访问本机时匹配public中的规则
---
#指定IP与端口
	firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"
	#指定IP与端口可以访问
	
	firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="5432" accept"
	#指定ip段可以访问
	
	firewall-cmd --list-all
	#查看配置结果
	
	firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"
	#删除规则
	
	firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="30000-31000" accept"
	#指定的IP开放指定的端口段
---

#FIREWALLD端口转发
>####开启防火墙伪装
	firewall-cmd --add-masquerade --permanent    
	#开启后才能转发端口

>####添加转发规则
	firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 --permanent
	#（PS：此规则将本机80端口转发到192.168.1.1的8080端口上，配置完--reload才生效）
---
	#如果配置完以上规则后仍不生效，检查防火墙是否开启80端口，如果80端口已开启，仍无法转发，可能是由于内核参数文件sysctl.conf未配置ip转发功能，具体配置如下：
	vi /etc/sysctl.conf
	在文本内容中添加：net.ipv4.ip_forward = 1
	保存文件后，输入命令sysctl -p生效

#FIREWALLD问题：
>####firewalld防火墙默认配置是只打开SSH端口的，就是默认放行ssh服务，不受firewalld-cmd的规则限制。如果SSH的端口已更改成别的端口了，请切记一定在启动firewall前先修改对应服务策略中SSH的端口为你的SSH端口，文件路径：/usr/lib/firewalld/services/ssh.xml 把22改成你的远程端口号，然后再启动firewall防火墙
	vim /usr/lib/firewalld/services/ssh.xml