centos7基础文档三

一.处理运行时的区域

运行时模式下对区域进行的修改不是永久有效的，重新加载之后修改就会失效了；

1 启用区域中的一种服务即给某个区域开机某个服务

firewall-cmc  --zone=区域名称  --add-service=服务名称

2 禁用区域中的某个服务即关闭某个服务

此操作禁用区域中的某个服务，

firewall-cmd  --zone=区域名称  --remove-service=服务名称

3查询区域中是否启用了特定的服务

firewall-cmd  --zone=区域名称  --query-service=服务名称

4启用区域端口和协议组合

firewall-cmd   --zone=区域名称  --add-port=端口号/协议

5.禁用端口和协议

firewall-cmd  --zone=区域名称  --remove-port=端口号/协议

6查询区域中是否启用可端口和协议组合

firewall-cmd  --zone=区域名称  --query-port=端口号/协议

7启用区域中的ip地址伪装

firewall-cmd   --zone=区域名称  --add-masquerade    该操作只针对ipv4有效

8禁用区域中的ip地址伪装

firewall-cmd   --zone=区域名称  --remove-masquerade

9启用区域中的icmp阻塞功能

firewall-cmd   --zone=区域名称  --add-icmp-block=icmp类型    [echo-request和echo-reply]

10禁用区域中的icmp阻塞功能

firewall-cmd   --zone=区域名称  --remove-icmp-block=icmp类型

11在区域中启用端口转发功能

firewall-cmd   --zone=区域名称  --add-forward-port=port=端口号：proto=协议：toaddr=目标地址

端口可以是一个端口也可以是端口范围，ip地址可以是同一主机或者是不同的主机，但是端口转发功能仅限于ipv4的ip地址

二.处理永久区域

永久选项不直接影响运行时的状态，这些选项仅在重载或重启服务的时候生效，为了使用运行时和永久配置，需要分别设置两者，选项--permannet 需要时永久设置的第一参数

1获取永久选项所支持的服务

firewall-cmd --permannet    --get-services

2.获取永久选项所支持的icmp类型列表

firewall-cmd --permannet  --get-icmptypes

3获取支持的永久区域

firewall-cmd  --permannet --get-zones

4配置防火墙在public区域打开http协议，并保存，以致生效

firewall-cmd --permannet  --zone=public  --add-service=http

5防火墙开放8000端口在public区域

firewall-cmd --permannet --zone=public --add-port=8000/tcp

6命令行配置富规则

查看富规则：firewall-cmd --list-rich-rules

创建富规则:firewall-cmd --add-rich-rule ‘rule family=ipv4 source address=源地址  service name=服务名称  log prefix="fpt" level=info  accept‘  --permannet

7允许管理员在172.31.1.2主机通过ssh远程管理内网的192.168.31.83主机（所用端口为23456)

firewall-cmd --add-rich-rule ‘rule family=ipv4 source address=172.31.1.2 forward-port port=23456 protocol=tcp  to-port=10211  to-addr=192.168.31.83‘ --permanent  --zone=external