- firewall-cmd防火墙设置,add 是添加,remove 是删除
[root@localhost nginx-1.16.0]# iptables -F #清空iptables防火墙
[root@localhost nginx-1.16.0]# firewall-cmd --permanent --zone=public --add-service=https #允许https和http流量通过
success
[root@localhost nginx-1.16.0]# firewall-cmd --permanent --zone=public --add-service=http
success
[root@localhost nginx-1.16.0]# firewall-cmd --reload
success
[root@michael ~]# firewall-cmd --get-default-zone #查看当前默认使用的区域,public
[root@michael ~]# firewall-cmd --get-zone-of-interface=ens160 #查看网卡绑定区域
[root@michael ~]# firewall-cmd --set-default-zone=drop #修改默认区域为drop
# 查询public区域是否允许http流量通过
[root@michael ~]# firewall-cmd --zone=public --query-service=http
[root@michael ~]# firewall-cmd --zone=public --add-service=http #添加允许http流量
# 查询https服务是否在public区域永久生效
[root@michael ~]# firewall-cmd --permanent --zone=public --query-service=https
#放行tcp协议的8800-8888端口
[root@localhost ~]# firewall-cmd --zone=public --add-port=8800-8888/tcp
[root@localhost ~]# firewall-cmd --list-ports #查询有哪些端口被允许使用
[root@localhost ~]# firewall-cmd --list-services #查询有哪些服务被允许使用
#拒绝某个服务用 --remove-service,拒绝某个端口用 --remove-port
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=https
[root@localhost ~]# firewall-cmd --reload
#端口号转发使用参数 --add-forward-port
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=8888:proto=tcp:toport=22:toaddr=192.168.0.40
#添加复规则 --add-rich-rule,删除复规则 --remove-rich-rule
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.0/24" service name="ssh" reject"
[root@michael ~]# iptables -P INPUT DROP #拒绝所有访问
[root@michael ~]# iptables -I INPUT -s 127.0.0.1 -p icmp -j ACCEPT #添加ping自己
[root@michael ~]# iptables -I INPUT -s 192.168.0.5 -p icmp -j ACCEPT
#设置可以访问http、https的端口
[root@michael ~]# iptables -I INPUT -s 192.168.0.5 -p tcp --dport 80 -j ACCEPT
[root@michael ~]# iptables -I INPUT -s 192.168.0.5 -p tcp --dport 443 -j ACCEPT
[root@michael ~]# iptables -P INPUT ACCEPT #允许所有访问,开启所有规则
[root@michael ~]# iptables -I INPUT -s 192.168.0.5 -p icmp -j REJECT #拒绝ping包
[root@michael ~]# iptables -I INPUT -s 192.168.0.5 -p icmp -j DROP #直接丢包
[root@michael ~]# iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
[root@michael ~]# iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 10000:15000 -j DROP
[root@michael ~]# service iptables save #保存规则
[root@michael ~]# iptables -L #查看规则
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 192.168.0.0/24 anywhere tcp dpts:ndmp:hydap
DROP tcp -- 192.168.0.0/24 anywhere tcp dpt:http
ACCEPT icmp -- 192.168.0.5 anywhere
DROP icmp -- 192.168.0.5 anywhere
REJECT icmp -- 192.168.0.5 anywhere reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.0.5 anywhere tcp dpt:https
ACCEPT tcp -- 192.168.0.5 anywhere tcp dpt:http
ACCEPT icmp -- 192.168.0.5 anywhere
ACCEPT icmp -- localhost anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination