firewalld-cmd是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。

firewall常用操作示例:

状态:# systemctl status firewalld 或者 firewall-cmd --state(查看防火墙开启关闭状态)
启动:# systemctl start  firewalld
停止:# systemctl stop firewalld
自启动:# systemctl enable firewalld (可让防火墙开机自启动,防火墙默认开机不启动的,需手动启动)
禁用:# systemctl disable firewalld

允许数据包转发

首先开启IP转发功能,默认是关闭的。
临时修改

echo 1 >/proc/sys/net/ipv4/ip_forward

修改过后就马上生效,但如果系统重启后则又恢复为默认值0。
永久修改

# 找到下面的值并将0改成1
vi /etc/sysctl.conf
# sysctl -p(使之立即生效)
net.ipv4.ip_forward = 1


默认值0是禁止ip转发,修改为1即开启ip转发功能。


端口管理

列出 dmz 级别的被允许的进入端口
 firewall-cmd --zone=dmz --list-ports
允许 tcp 端口 8080 至 dmz 级别 (--permanent 永久生效,没有此参数重启后失效)
firewall-cmd --zone=dmz --add-port=8080/tcp
firewall-cmd --zone=dmz --add-port=12345/tcp --permanent

列出 public 级别的被允许的进入端口
firewall-cmd --zone=public --list-ports
允许某范围的 udp 端口至 public 级别,并永久生效
firewall-cmd --zone=public --add-port=5060-5059/udp --permanent
允许 tcp 端口 58888 至 public 级别 (--permanent 永久生效,没有此参数重启后失效)
firewall-cmd --zone=public --add-port=80/tcp --permanent
重新加载firewalld配置
firewall-cmd --reload

打开防火墙伪装IP

决定你端口转发是否能成功的最重要一点是你得打开防火墙伪装IP的功能,这就是SNAT。

firewall-cmd --query-masquerade # 检查是否允许伪装IP,返回no表示没开启,反之开启伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --add-masquerade --permanent      # --permanent 永久生效,没有此参数重启后失效
或
firewall-cmd --zone=区域 --add-masquerade
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP
重新加载firewalld配置
firewall-cmd --reload
(PS:添加或删除端口后不会立即生效,配置完 --reload后才能生效;--permanent代表永久生效)

下面是端口转发的命令

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent    # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1 --permanent    # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 --permanent     # 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=port=58888:proto=tcp:toaddr=47.97.184.137:toport=80 --permanent # 将58888端口的流量转发至47.97.184.137的80端口
要删除之前设置的转发规则,把以上命令中的--add-forward-port改为--remove-forward-port运行一次即可。
firewall-cmd --permanent --zone=public --remove-forward-port=port=58888:proto=tcp:toaddr=47.97.184.137:toport=8888
firewall-cmd --reload
firewall-cmd --list-all #查询所有配置

重新加载firewalld配置,并查看之前的配置

firewall-cmd --reload
firewall-cmd --list-all