centos防火墙规则修改技巧

以下是CentOS防火墙规则修改的核心技巧，基于firewalld工具（CentOS 7/8默认）：

一、基础规则管理

1. 查看规则

   • 查看所有区域规则：firewall-cmd --list-all-zones
   • 查看特定区域规则（如public）：firewall-cmd --list-all --zone=public

2. 添加规则

   • 端口规则：
     • 永久开放TCP 80端口：firewall-cmd --permanent --zone=public --add-port=80/tcp
     • 临时开放UDP 53端口：firewall-cmd --zone=public --add-port=53/udp（无需--permanent）
   • 服务规则：
     • 允许SSH服务：firewall-cmd --permanent --zone=public --add-service=ssh
   • IP规则（富规则）：
     • 允许IP段192.168.1.0/24访问3306端口：
       firewall-cmd --permanent --zone=public --add-rich-rule='rule source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'

3. 删除规则

   • 删除端口规则：firewall-cmd --permanent --zone=public --remove-port=80/tcp
   • 删除富规则：firewall-cmd --permanent --zone=public --remove-rich-rule='rule source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'

二、高级技巧

1. 区域管理

   • 查看所有区域：firewall-cmd --list-all-zones
   • 修改接口所属区域（如将eth0设为trusted区域）：
     firewall-cmd --permanent --zone=trusted --change-interface=eth0
   • 设置默认区域（新接口默认应用此区域规则）：firewall-cmd --set-default-zone=public

2. 端口转发与伪装

   • 将本地80端口流量转发至192.168.1.100:8080：
     firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.100:toport=8080
   • 启用IP伪装（NAT）：firewall-cmd --permanent --add-masquerade

3. 动态更新与验证

   • 无需重启服务，直接重载规则生效：firewall-cmd --reload
   • 验证规则是否生效：firewall-cmd --list-all

三、注意事项

• 权限：需使用sudo或root权限执行命令。
• 备份：修改前建议备份配置文件（如/etc/firewalld/zones/下的区域文件）。
• 生产环境：谨慎使用trusted区域，避免暴露敏感端口。

参考来源：