【Linux】 iptables vs firewalld

iptables 其他命令

1. 禁用/停止自带的firewalld服务

#停止firewalld服务
systemctl stop firewalld

#禁用firewalld服务
systemctl mask firewalld

2. 设置现有规则
#查看iptables现有规则
iptables -L -n

#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT

#清空所有默认规则
iptables -F

#清空所有自定义规则
iptables -X

#所有计数器归0
iptables -Z

#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT

#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃
iptables -P INPUT DROP

#所有出站一律绿灯
iptables -P OUTPUT ACCEPT

#所有转发一律丢弃
iptables -P FORWARD DROP

#如果要添加内网ip信任（接受其所有TCP请求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#过滤所有非以上规则的请求
iptables -P INPUT DROP

#要封停一个IP，使用下面这条命令：
iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一个IP，使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP

#保存上述规则
service iptables save

#注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service

#开启服务
systemctl start iptables.service

#查看状态
systemctl status iptables.service

3. 映射端口（如将mysql默认的3306端口映射成1306对外提供服务）
iptables -t mangle -I PREROUTING -p tcp --dport 1306 -j MARK --set-mark 883306 
iptables -t nat -I PREROUTING -p tcp --dport 1306 -j REDIRECT --to-ports 3306 
iptables -I INPUT -p tcp --dport 3306 -m mark --mark 883306 -j ACCEPT

firewalld

启动： systemctl start firewalld
查看状态： systemctl status firewalld / firewall-cmd --state 
停止： systemctl disable firewalld
禁用： systemctl stop firewalld
添加：firewall-cmd --zone=public --add-port=1234/tcp --permanent（--permanent永久生效，没有此参数重启后失效）
添加端口外部访问权限（这样外部才能访问）
firewall-cmd --add-port=5005/tcp
重新载入，添加端口后重新载入才能起作用
firewall-cmd --reload
这些之后，端口是开启成功的，如果没有成功，重启系统试试。


查看端口：firewall-cmd --zone=public --query-port=80/tcp
删除端口：firewall-cmd --zone=public --remove-port=80/tcp --permanent
查看firewall是否运行,下面两个命令都可以
systemctl status firewalld
或
firewall-cmd --state

其实一个服务对应一个端口，每个服务对应/usr/lib/firewalld/services下面一个xml文件。
查看开启了哪些服务：firewall-cmd --list-services
查看开启了哪些端口：firewall-cmd --list-ports
查看还有哪些服务可以打开：firewall-cmd --get-services
查看所有打开的端口：firewall-cmd --zone=public --list-ports
更新防火墙规则：firewall-cmd --reload
查看端口访问权限情况：firewall-cmd --query-port=1234/tcp
添加端口外部访问权限：firewall-cmd --add-port=1234/tcp

systemctl

启动： systemctl start firewalld
查看状态： systemctl status firewalld 
停止： systemctl disable firewalld
禁用： systemctl stop firewalld
启动服务：systemctl start firewalld.service
关闭服务：systemctl stop firewalld.service
重启服务：systemctl restart firewalld.service
服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic