Linux之常用工具防火墙firewalld配置

编程笔记 / 2019-08-26 / 2 min

CentOS7 已经内置了 firewalld 防火墙，用来替代之前的 iptables 基本操作，作为 Linux 的基本工具，有必要来了解一下 firewalld 的基本使用。

firewalld基本操作：

# 启动
systemctl start firewalld
# 关闭
systemctl stop firewalld
# 状态
systemctl status firewalld 
# 开机启用
systemctl enable firewalld
# 开机禁用
systemctl disable firewalld

firewall-cmd规则配置

开放端口

我们永久开放 3388 端口并使其生效。

# 开放3388端口 --permanent 重启不会失效
firewall-cmd --zone=public --add-port=3388/tcp --permanent
# 重载使生效, 所有规则修改都需要重载生效，后面省略
firewall-cmd --reload
# 确认是否生效
firewall-cmd --zone=public --query-port=3388/tcp

查看当前系统开放的端口

firewall-cmd --zone=public --list-ports

批量开放端口

打开从1000到2000的端口。

firewall-cmd --zone=public --add-port=1000-2000/tcp --permanent

关闭打开的端口

单个/批量关闭已打开的端口。

# 关闭3388端口
firewall-cmd --zone=public --remove-port=3388/tcp --permanent
# 批量关闭1000-2000端口
firewall-cmd --zone=public --remove-port=1000-2000/tcp --permanent

限制IP访问

单个限制，或者限制IP段。

# 拒绝111.111.0.200访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.200" port protocol="tcp" port="80" reject"
# 拒绝111.111.0.0到111.111.0.255这个IP段访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.0/24" port protocol="tcp" port="80" reject"
# 查看以设置的限制规则
firewall-cmd --zone=public --list-rich-rules

解除IP限制

解除 IP 或者 IP段 访问限制。

# 接受111.111.0.200访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.200" port protocol="tcp" port="80" accept"
# 111.111.0.0到111.111.0.255这个IP段访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.0/24" port protocol="tcp" port="80" accept"

关于IP段如何设置，这里有一份16-30位网络号-掩码位数，IP总数，子网掩码查询表供参考：

16-30位网络号-掩码位数，IP总数，子网掩码查询表

掩码位数	IP数	子网掩码	C段个数
/30	4	255.255.255.252	1/64
/29	8	255.255.255.248	1/32
/28	16	255.255.255.240	1/16
/27	32	255.255.255.224	1/8
/26	64	255.255.255.192	1/4
/24	256	255.255.255.0	1
/23	512	255.255.254.0	2
/22	1024	255.255.252.0	4
/21	2048	255.255.248.0	8
/20	4096	255.255.240.0	16
/19	8192	255.255.224.0	32
/18	16384	255.255.192.0	64
/17	32768	255.255.128.0	128
/16	65536	255.255.0.0	256

参考文章：网络号 IP地址子网掩码如何计算