1. firewalld的基本使用

• 启动： systemctl start firewalld
• 关闭： systemctl stop firewalld
• 查看状态： systemctl status firewalld
• 开机禁用 ： systemctl disable firewalld
• 开机启用 ： systemctl enable firewalld

2. systemctl 管理服务

systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。

• 启动一个服务：systemctl start firewalld.service
• 关闭一个服务：systemctl stop firewalld.service
• 重启一个服务：systemctl restart firewalld.service
• 显示一个服务的状态：systemctl status firewalld.service
• 在开机时启用一个服务：systemctl enable firewalld.service
• 在开机时禁用一个服务：systemctl disable firewalld.service
• 查看服务是否开机启动：systemctl is-enabled firewalld.service
• 查看已启动的服务列表：systemctl list-unit-files|grep enabled
• 查看启动失败的服务列表：systemctl --failed
• 关闭iptable管理工具：systemctl mask iptables.service

   for SERVICE in iptables ip6tables ebtables;
   do 
          systemctl mask ${SERVICE}.service
   done

3. 配置firewalld-cmd

• 查看版本： firewall-cmd --version
• 查看帮助： firewall-cmd --help
• 显示状态： firewall-cmd --state
• 查看所有打开的端口： firewall-cmd --zone=public --list-ports
• 更新防火墙规则： firewall-cmd --reload
• 查看区域信息: firewall-cmd --get-active-zones
• 预定义的zone：public, trusted, dmz, drop, reject等
• 查看默认区域: firewall-cmd --get-default-zones
• 查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
• 更改接口所属区域: firewall-cmd --change-interface=eth1 --zone=trusted
• 将运行时状态保存到配置文件：firewall-cmd --runtime-to-permanent
• 拒绝所有包：firewall-cmd --panic-on
• 取消拒绝状态： firewall-cmd --panic-off
• 查看是否拒绝： firewall-cmd --query-panic

4. 开启端口或服务

• 查看现有规则 firewall-cmd --list-all --zone=public
• 查看预定义服务列表 firewall-cmd --get-services
• 打开端口/服务

firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent    

如果不指定–zone则添加到默认区域 ，–permanent永久生效，没有此参数重启后失效）

firewall-cmd --zone=public --add-sources=192.168.0.0/16

• 重新载入 firewall-cmd --reload
• 查看 firewall-cmd --zone= public --query-port=80/tcp
• 删除 firewall-cmd --zone= public --remove-port=80/tcp --permanent

5. 富规则

• 设置

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.2/32 reject'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 service name=ssh log prefix=ssh level=notice limit=3/s accept'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 service name=http log prefix="New HTTP " level=notice limit=3/s accept'

日志记录默认使用syslog， 查看#tail -f /var/log/messages

• 查看 firewall-cmd --list-rich-rules --zone=public
• 删除 firewall-cmd --remove-rich-rule='rule family=ipv4 source address=192.168.1.2/32 reject'

6. 地址伪装和端口转发（NAT）

SNAT 原地址转换，内网用户上网

1. 为端口添加masquerade
   firewall-cmd --permanent --zone=external --add-masquerade
2. 为匹配的流量做转换
   firewall-cmd --permanent --zone=external --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 masquerade'
3. 加载配置
   firewall-cmd --reload

端口转发，外部访问内部

firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10 success

伪装和端口转发案列