【实战】Linux 使用 firewall-cmd 管理防火墙

小渣渣

firewall-cmd是firewalld守护程序的命令行客户端。它提供了管理运行时和永久配置的接口。firewalld中的运行时配置与永久配置分开。这意味着可以在运行时或永久配置中更改内容。CnetOS 7 以后 iptables 已经被 firewalld 取代。

回顾：

CentOS7 查看和关闭防火墙
https://www.itsvse.com/thread-7771-1-1.html

【实战】CentOS 7 禁止某 IP 访问服务器
https://www.itsvse.com/thread-10264-1-1.html

iptables防火墙 只允许某IP访问某端口、访问特定网站
https://www.itsvse.com/thread-2535-1-1.html

启动防火墙

登录可见。

开启启动防火墙

登录可见。

永久允许任意 IP 地址访问 80、443 端口

登录可见。

重新加载防火墙规则，使其生效：

登录可见。

临时禁止 1.1.1.5 访问（不需要重启防火墙或重新加载防火墙规则）

登录可见。

查看规则

登录可见。

查看网卡的 zone

登录可见。

查看所有 zone

登录可见。

public(公共) —— [默认]公网访问，不受任何限制。
work(工作) —— 用于工作区。基本信任的网络，仅仅接收经过选择的连接。
home(家庭) —— 用于家庭网络。基本信任的网络，仅仅接收经过选择的连接。
trusted(信任) —— 接收的外部网络连接是可信任、可接受的。
block(限制) —— 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。
dmz(隔离区) —— 英文"demilitarized zone"的缩写，此区域内可公开访问，它是非安全系统与安全系统之间的缓冲区。
drop(丢弃) —— 任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接。
external(外部) —— 允许指定的外部网络进入连接，特别是为路由器启用了伪装功能的外部网。
internal(内部) —— 内部访问。只限于本地访问，其他不能访问。

（完）

小渣渣

当启用 firewalld 防火墙后，docker 容器有可能启动失败，例如报错如下：

Cannot restart container php5-fpm: driver failed programming external connectivity on endpoint php5-fpm (1486c846c2566abdxxxx):  (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 9000 -j DNAT --to-destination 172.17.0.5:9000 ! -i docker0: iptables: No chain/target/match by that name.

临时解决方案，重启 docker 服务：

登录可见。

如果同时启用了firewalld和docker服务，他们都会对iptables里面的转发链写入规则，firewalld每次启动或者重启都会强制覆盖docker的转发链，同时，docker也会通过更高优先级的策略使firewalld里面配置的条目失效。当出现冲突的时候，首先重启firewalld，然后重启docker，注意顺序不可以反过来。

小渣渣

统计每个 IP 地址的连接数：

登录可见。

设置黑名单

登录可见。

设置白名单

登录可见。

小渣渣

Rocky Linux 9 使用 ufw 简单防火墙
https://www.itsvse.com/thread-11121-1-1.html