启动防火墙

systemctl start firewalld

停止防火墙

systemctl stop firewalld

防火墙开机自启动

systemctl enable firewalld

禁止防火墙开机自启动

systemctl disable firewalld

检查防火墙的状态

systemctl status firewalld

重新加载防火墙的配置

firewall-cmd --reload

查看活动防火墙状态

firewall-cmd --state

列出所有活动区域

firewall-cmd --get-active-zones

查看指定区域的规则

firewall-cmd --list-all --zone=public

列出所有区域

firewall-cmd --get-zones

设置默认区域

firewall-cmd --set-default-zone=trusted

添加一个接口到区域

firewall-cmd --zone=public --add-interface=eth0

从区域中移除一个接口

firewall-cmd --zone=public --remove-interface=eth0

查看指定区域的接口

firewall-cmd --get-zone-of-interface=eth0

列出所有支持的服务

firewall-cmd --get-services

添加一个服务到区域

firewall-cmd --zone=public --add-service=http

从区域中移除一个服务

firewall-cmd --zone=public --remove-service=http

检查服务是否是启动的

firewall-cmd --zone=public --query-service=http

使服务变更永久生效

firewall-cmd --zone=public -add-service=http --permanent

临时打开一个端口

firewall-cmd --zone=public --add-port=8080/tcp

临时关闭一个端口

firewall-cmd --zone=public --remove-port=8080/tcp

使变更端口永久生效

firewall-cmd --zone=public --add-port=8080/tcp --permanent

列出在区域中打开的端口

firewall0cmd --zone=public --list-ports

允许来自指定IP的流量

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'

阻止来自限定IP的流量

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" drop'

记录并丢弃来自指定IP的流量

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" log prefix="Blocked: " level="info" drop'

使规则永久生效

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept' --permanent

启用伪装

firewall-cmd --zone=publie --add-masquerade

禁用伪装

firewall-cmd --zone=public --remove-masquerade

在区域之间转发流量

firewall-cmd --zone=trusted --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100

在脚本或恢复模式中使用

firewall-offline-cmd --add-service=http

永久保存所有变更到磁盘

firewall-cmd --runtime-to-permanent