當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

firewalld/iptables防火墙维护和状态查询命令（防火墙重载，区域操作命令，开启服务或端口，堵塞端口，iptables规则添加和删除）

發布時間：2024/2/28 编程问答 41 豆豆

生活随笔收集整理的這篇文章主要介紹了 firewalld/iptables防火墙维护和状态查询命令（防火墙重载，区域操作命令，开启服务或端口，堵塞端口，iptables规则添加和删除）小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章目錄

firewalld防火墻維護和狀態查詢命令
- - firewalld防火墻狀態查詢命令
firewalld防火墻重載配置命令
- - 重新加載firewalld的配置
  - 查詢預定義信息命令
firewalld區域操作命令
- - 區域操作命令2
  - firewalld區域操作命令3
  - 區域操作命令總結
firewalld服務操作命令
- - 操作命令總結
firewalld端口操作命令
- - 操作命令總結
firewalld阻塞ICMP操作命令
- - 操作命令總結
iptables編寫防火墻規則命令
- 添加、查看、刪除規則
- 總結規則
- 總結規則

firewalld防火墻維護和狀態查詢命令

[root@localhost ~]# systemctl stop firewalld· 關閉防火墻 [root@localhost ~]# systemctl start firewalld 開啟防火墻 [root@localhost ~]# systemctl restart firewalld 重啟防火墻 [root@localhost ~]# systemctl status firewalld 狀態防火墻

firewalld防火墻狀態查詢命令

[root@localhost ~]# systemctl status firewalld.service '//查看防火墻狀態' [root@localhost ~]# firewall-cmd --stat '//查看防火墻狀態'

firewalld防火墻重載配置命令

重新加載firewalld的配置

[root@localhost ~]# firewall-cmd --reload 重啟防火墻 success [root@localhost ~]# firewall-cmd --complete-reload 狀態信息將會丟失，多用于處理防火墻出現問題時 successb [root@localhost ~]# systemctl restart firewalld.service 重啟防火墻

查詢預定義信息命令

查看預定義的區域

[root@localhost ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work '//默認網絡區域'

查看預定義的服務

[root@localhost ~]# firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc

查看預定義的ICMP類型（過濾器）

[root@localhost ~]# firewall-cmd --get-icmptypes address-unreachable bad-header communication-prohibited destination-unreachable echo

firewalld區域操作命令

顯示網絡連接或接口的默認區域

[root@localhost ~]# firewall-cmd --get-default-zone public

設置網絡連接或接口的默認區域為internal

[root@localhost ~]# firewall-cmd --set-default-zone=internal success

顯示已激活的所有區域

[root@localhost ~]# firewall-cmd --get-active-zones internalinterfaces: ens33

區域操作命令2

顯示ens33接口綁定的區域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 public

為ens33接口綁定work區域

[root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33 success [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 work

為work區域更改綁定的網絡接口ens33

[root@localhost ~]# firewall-cmd --zone=work --change-interface=ens33 success [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 work

為work區域刪除綁定的網絡接口ens33

[root@localhost ~]# firewall-cmd --zone=work --remove-interface=ens33 The interface is under control of NetworkManager, setting zone to default. success

如果出現下面情況刪除一下

[root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33 Error: ZONE_CONFLICT: 'ens33' already bound to a zone [root@localhost ~]# firewall-cmd --zone=public --remove-interface=ens33 success [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 no zone [root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33 success [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 work

firewalld區域操作命令3

查詢work區域中是否包含接口ens33

[root@localhost ~]# firewall-cmd --zone=work --query-interface=ens33 yes

顯示區域及其規則

[root@localhost ~]# firewall-cmd --list-all-zones blocktarget: %%REJECT%%icmp-block-inversion: nointerfaces: sources: services: ports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: 等...

顯示internal區域的所有規則

[root@localhost ~]# firewall-cmd --zone=internal --list-all

顯示默認區域的所有規則

[root@localhost ~]# firewall-cmd --list-all internal (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: ssh mdns samba-client dhcpv6-clientports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: ...省略內容

區域操作命令總結

命令選項說明

–get-default-zone	顯示網絡連接或接口的默認區域
–set-default-zone=區域類型	設置網絡連接或接口的默認區域
–get-active-zones	顯示已激活的所有區域
–get-zone-of-interface=接口（網卡）	顯示指定接口綁定的區域
–zone=區域類型 --add-interface=接口（網卡）	為指定接口綁定區域
–zone=區域類型 --change-interface=接口（網卡）	為指定的區域更改綁定的網絡接口
–zone=區域類型 --remove-interface=接口（網卡）	為指定的區域刪除綁定的網絡接口
–query-interface=接口（網卡）	查詢區域中是否包含某接口
–list-all-zones	顯示所有區域及其規則
[–zone=區域類型] --list-all	顯示所有指定區域的所有規則

firewalld服務操作命令

顯示internal區域內允許訪問的所有服務

[root@localhost ~]# firewall-cmd --zone=internal --list-services dhcpv6-client mdns samba-client ssh

為public區域設置允許訪問SMTP服務

[root@localhost ~]# firewall-cmd --zone=public --add-service=smtp success

刪除internal區域中的SSH服務

[root@localhost ~]# firewall-cmd --zone=internal --remove-service=ssh success

查詢internal區域中是否啟用了SSH服務

[root@localhost ~]# firewall-cmd --zone=internal --query-service=ssh yes

操作命令總結

命令選項說明

[–zone=區域類型] --list-services	顯示指定區域內允許訪問的所有服務
[–zone=區域類型] --add-service=服務	為指定區域設置允許訪問的某項服務
[–zone=區域類型] --remove-service=服務	刪除指定區域已設置的允許訪問的某項服務
[–zone=區域類型] --query-service=服務	查詢指定區域中是否啟用了某項服務

firewalld端口操作命令

顯示internal區域內允許訪問的所有端口號

[root@localhost ~]# firewall-cmd --zone=internal --list-ports

啟用internal區域22端口的TCP協議組合

[root@localhost ~]# firewall-cmd --zone=internal --add-port=22/tcp --timeout=5m success '//--timeout=5m：表示五分鐘后刪除該端口，多用于測試'

禁用internal區域22端口的TCP協議組合

[root@localhost ~]# firewall-cmd --zone=internal --remove-port=22/tcp success

查詢internal區域中是否啟用了22端口和TCP協議組合

[root@localhost ~]# firewall-cmd --zone=internal --query-port=22/tcp no

操作命令總結

命令選項說明

[–zone=區域類型] --list-ports	顯示指定區域內允許訪問的所有端口號
[–zone=區域類型] --add-port=端口號[-端口號]/協議 [–timeout=時間]	啟用區域端口和協議組合，可選配置超時時間
[–zone=區域類型] --remove-port=端口號[-端口號]/協議]	禁用區域端口和協議組合
[–zone=區域類型]==query-port=端口號[-端口號]/協議]	查詢區域中是否啟用了端口和協議組合

firewalld阻塞ICMP操作命令

顯示work區域內阻塞的所有ICMP類型

[root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks

為work區域設置阻塞echo-reply類型的ICMP

[root@localhost ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply success

刪除work區域已阻塞的echo-reply類型的ICMP

[root@localhost ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply success

查詢work區域的echo-request類型的ICMP是否阻塞

[root@localhost ~]# firewall-cmd --zone=work --query-icmp-block=echo-request no

操作命令總結

操作命令選項說明

[–zone=區域類型] --list-icmp-blocks	顯示指定區域內阻塞的所有ICMP類型
[–zone=區域類型] --add-icmp-block=ICMP類型	為指定區域設置阻塞的某項ICMP類型
[–zone=區域類型] --remove-icmp-block=ICMP類型	刪除指定區域已阻塞的某項ICMP類型
[–zone=區域類型] --query-icmp-block=ICMP類型	查詢指定區域的ICMP阻塞功能

| -------------------------------- |
| [–zone=區域類型] --list-icmp-blocks | 顯示指定區域內阻塞的所有ICMP類型 |
| [–zone=區域類型] --add-icmp-block=ICMP類型 | 為指定區域設置阻塞的某項ICMP類型 |
| [–zone=區域類型] --remove-icmp-block=ICMP類型 | 刪除指定區域已阻塞的某項ICMP類型 |
| [–zone=區域類型] --query-icmp-block=ICMP類型 | 查詢指定區域的ICMP阻塞功能 |

文章目錄

firewalld防火墻維護和狀態查詢命令
- - firewalld防火墻狀態查詢命令
firewalld防火墻重載配置命令
- - 重新加載firewalld的配置
  - 查詢預定義信息命令
firewalld區域操作命令
- - 區域操作命令2
  - firewalld區域操作命令3
  - 區域操作命令總結
firewalld服務操作命令
- - 操作命令總結
firewalld端口操作命令
- - 操作命令總結
firewalld阻塞ICMP操作命令
- - 操作命令總結
iptables編寫防火墻規則命令
- 添加、查看、刪除規則
- 總結規則
- 總結規則

iptables編寫防火墻規則命令

iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]

ps:

不指定表名時，默認指filter表

不指定鏈名時，默認指表內的所有鏈

除非設置鏈的默認策略，否則必須指定匹配條件

選項、鏈名、控制類型使用大寫字母，其余均為小寫

數據包的常見控制類型

ACCEPT：允許通過

DROP：直接丟棄，不給出任何回應

REJECT：拒絕通過，必要時會給出提示

LOG：記錄日志信息，然后傳給下一跳規則繼續匹配

添加、查看、刪除規則

添加新的規則

[root@client ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT [root@client ~]# iptables -I INPUT -p udp -j ACCEPT [root@client ~]# iptables -I INPUT 2 -p icmp -j ACCEPT-A：在鏈的末尾追加一條規則 -I：在鏈的開頭（或指定序號）插入一條規則

查看規則表

-L：列出所有的規則條目-n：以數字形式顯示地址、端口等信息-v：以更詳細的方式顯示規則信息–line-numbers：查看規則時，顯示規則的序號 [root@client ~]# iptables -n -L INPUT --line-numbers

刪除、清空規則

-D：刪除鏈內指定序號（或內容）的一條規則-F：清空所有的規則 [root@client ~]# iptables -D INPUT 3 [root@client ~]# iptables -n -L INPUT [root@client ~]# iptables -t nat -F

設置默認策略

-p：為指定的鏈設置默認規則 [root@client ~]# iptables -t filter -P FORWARD DROP [root@client ~]# iptables -P OUTPUT ACCEPT

總結規則

類別選項用途

添加新的規則	-A	在鏈的末尾追加一條規則
	-I	在鏈的開頭（或指定序號）插入一條規則
查看規則列表	-L	列出所有的規則條目
	-N	以數字形式顯示地址、端口等信息
	-V	以更詳細的方式顯示規則信息
	–line-numbers	查看規則時，顯示規則的序號
刪除、清空規則	-D	刪除鏈內指定序號（或內容）的一條規則
	-F	清空所有的規則
設置默認策略	-P	為指定的鏈設置默認規則

常見的通用匹配條件

協議匹配：-p 協議名

地址匹配：-s 源地址、-d目的地址

接口匹配：-i 入站網卡、-o出站網卡

[root@client ~]# iptables -I INPUT -p icmp -j DROP [root@client ~]# iptables -A -FORWARD ! -p icmp -j ACCEPTps：感嘆號表示條件取反[root@client ~]# iptables -A -FORWARD -s 192.168.1.10 -j REJECT [root@client ~]# iptables -I INPUT -s 10.10.10.0/24 -j DROP [root@client ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP

常用的隱含匹配條件

端口匹配：–sport 源端口、–dport目的端口

ICMP匹配：–icmp-type ICMP類型

[root@client ~]# iptables -A FORWARD -s 192.168.5.0/24 -p udp --dport 53 -j ACCEPT [root@client ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

常用的顯示匹配條件

端口匹配：-m multiport --sports 源端口列表

-m multiport --dports 目的端口列表

2、IP范圍匹配：-m iprange --src-range IP范圍

3、MAC地址匹配：-m mac --mac-source MAC地址

4、狀態匹配：-m state --state 連接狀態

[root@client ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT [root@client ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.5.43-192.168.5.46 -j ACCEPT [root@client ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP

總結規則

類別條件類型用法

通用匹配	協議匹配	-p 協議名
	地址匹配	-s 源地址、-d 目的地址
	接口匹配	-i 入站網卡、-o 出站網卡
隱含匹配	端口匹配	–sport 源端口、–dport 目的端口
	ICMP類型匹配	–icm-type ICMP類型
顯式匹配	多端口匹配	-m multiport --sports \| --dports 端口列表
	IP范圍匹配	-m iprange --src-range IP范圍
	MAC地址匹配	-m mac --mac-source MAC地址
	狀態匹配	-m state --state 連接狀態

總結

以上是生活随笔為你收集整理的firewalld/iptables防火墙维护和状态查询命令（防火墙重载，区域操作命令，开启服务或端口，堵塞端口，iptables规则添加和删除）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：内存条大小：玩游戏必备的关键因素
下一篇： web网络和http协议（了解域名和网页