centos 7中防火墙FirewallD是一个非常的强大的功能了, FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。

启动服务，并在系统引导时启动该服务：

sudosystemctlstartfirewalldsudosystemctlenablefirewalld

要停止并禁用：

sudosystemctlstopfirewalldsudosystemctldisablefirewalld

检查防火墙状态。输出应该是 running 或者 not running

sudofirewall-cmd--state

要查看 FirewallD 守护进程的状态：

sudosystemctlstatusfirewalld

在开机时启用一个服务

systemctlenablefirewalld.service

在开机时禁用一个服务

systemctldisablefirewalld.service

查看所有打开的端口

firewall-cmd--zone=public--list-ports

更新防火墙规则

firewall-cmd--reload

查看区域信息

firewall-cmd--get-active-zones

查看指定接口所属区域

firewall-cmd--get-zone-of-interface=eth0

重新加载 FirewallD 配置

sudofirewall-cmd--reload配置集

将规则同时添加到持久规则集和运行时规则集中

sudofirewall-cmd--zone=public--add-service=http--permanentsudofirewall-cmd--zone=public--add-service=http

将规则添加到持久规则集中并重新加载 FirewallD

sudofirewall-cmd--zone=public--add-service=http--permanentsudofirewall-cmd--reload防火墙的区域

要找到默认区域

sudofirewall-cmd--get-default-zone

要修改默认区域

sudofirewall-cmd--set-default-zone=internal

要查看你网络接口使用的区域

sudofirewall-cmd--get-active-zones

示例输出

publicinterfaces:eth0

要得到特定区域的所有配置

sudofirewall-cmd--zone=public--list-all

示例输出

public(default,active)interfaces:ens160sources:services:dhcpv6-clienthttpsshports:12345/tcpmasquerade:noforward-ports:icmp-blocks:richrules:

要得到所有区域的配置

sudofirewall-cmd--list-all-zones

示例输出

blockinterfaces:sources:services:ports:masquerade:noforward-ports:icmp-blocks:richrules:...workinterfaces:sources:services:dhcpv6-clientipp-clientsshports:masquerade:noforward-ports:icmp-blocks:richrules:与服务一起使用

要查看默认的可用服务

sudofirewall-cmd--get-services

比如，要启用或禁用 HTTP 服务

sudofirewall-cmd--zone=public--add-service=http--permanentsudofirewall-cmd--zone=public--remove-service=http--permanent

允许或者拒绝任意端口/协议

比如：允许或者禁用 12345 端口的 TCP 流量

sudofirewall-cmd--zone=public--add-port=12345/tcp--permanentsudofirewall-cmd--zone=public--remove-port=12345/tcp--permanent端口转发

下面是在同一台服务器上将 80 端口的流量转发到 12345 端口

sudofirewall-cmd--zone="public"--add-forward-port=port=80:proto=tcp:toport=12345

用 FirewallD 构建规则集

将 eth0 的默认区域设置为 dmz。 在所提供的默认区域中，dmz（非军事区）是最适合于这个程序的，因为它只允许 SSH 和 ICMP

sudofirewall-cmd--set-default-zone=dmzsudofirewall-cmd--zone=dmz--add-interface=eth0

把 HTTP 和 HTTPS 添加永久的服务规则到 dmz 区域中

sudofirewall-cmd--zone=dmz--add-service=http--permanentsudofirewall-cmd--zone=dmz--add-service=https--permanent

重新加载 FirewallD 让规则立即生效

sudofirewall-cmd--reload

如果你运行 firewall-cmd –zone=dmz –list-all， 会有下面的输出

dmz(default)interfaces:eth0sources:services:httphttpssshports:masquerade:noforward-ports:icmp-blocks:richrules:高级配置

允许来自主机 192.168.0.14 的所有 IPv4 流量

sudofirewall-cmd--zone=public--add-rich-rule'rulefamily="ipv4"sourceaddress=192.168.0.14accept'

拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量

sudofirewall-cmd--zone=public--add-rich-rule'rulefamily="ipv4"sourceaddress="192.168.1.10"portport=22protocol=tcpreject'

允许来自主机 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量，并将流量转发到 6532 端口上

sudofirewall-cmd--zone=public--add-rich-rule'rulefamily=ipv4sourceaddress=10.1.0.3forward-portport=80protocol=tcpto-port=6532'

将主机 172.31.4.2 上 80 端口的 IPv4 流量转发到 8080 端口（需要在区域上激活 masquerade）

sudofirewall-cmd--zone=public--add-rich-rule'rulefamily=ipv4forward-portport=80protocol=tcpto-port=8080to-addr=172.31.4.2'

列出你目前的丰富规则

sudofirewall-cmd--list-rich-rules

iptables 的直接接口

要查看添加到 FirewallD 的所有自定义链或规则

firewall-cmd--direct--get-all-chainsfirewall-cmd--direct--get-all-rules