firewall-cmd命令将会与firewalld动态防火墙管理器进行交互,作为主firewalld软件包的一部分安装,可用于倾向使用命令行的管理员,在没有图形环境的系统上工作或者编写有关防火墙设置的脚本。
firewall-cmd命令指定的--permanent 选项必须通过firewall-cmd --reload 命令来激活设置,将读取当前的永久配置并将其作为新的运行时配置来应用。
常用firewall-cmd命令及其说明:
--get-default-zone : 查询当前的默认区域
--set-default-zone=ZONE : 设置默认区域,该命令同时更改运行时配置和永久配置
--get-zones : 列出所有可用区域
--get-active-zones : 列出当前正在使用的所有区域(具有关联的接口或源)及接口和源信息
--add-source=CIDR [--zone=ZONE] : 将来自IP地址或网络/子网掩码的所有流量路由到指定区域,--zone指定区域,未指定时使用默认区域
--remove-source=CIDP [--zone=ZONE] :从区域中删除用于路由来自IP地址或网络/子网掩码的所有流量规则,--zone指定区域,未指定时使用默认区域
--add-interface=INTERFACE [--zone=ZONE] : 将来自INTERFACE的所有流量路由到指定区域,--zone指定区域,未指定时使用默认区域
--change-interface=INTERFACE [--zone=ZONE] : 将揭开与ZONE而非其当前区域关联,--zone指定区域,未指定时使用默认区域
--list-all [--zone=ZONE] : 检索所有区域的所有信息(接口、源、端口、服务)
--add-service=SERVICE [--zone=ZONE] : 允许到SERVICE的流量,--zone指定区域,未指定时使用默认区域
--remove-service=SERVICE [--zone=ZONE] : 从区域的允许列表中删除SERVICE,--zone指定区域,未指定时使用默认区域
--add-port=PORT/PROTOCOL [--zone=ZONE] : 允许到PORT/PROTOCOL端口的流量,--zone指定区域,未指定时使用默认区域
--remove-port=PORT/PROTOCOL [--zone=ZONE] : 从区域的允许列表中删除PORT/PROTOCOL端口,--zone指定区域,未指定时使用默认区域
--reload : 丢弃允许时配置并应用持久配置
