安点科技防火墙命令

1、firewalld的基本使用

启动： systemctl start firewalld

查看状态： systemctl status firewalld

禁用，禁止开机启动： systemctl disable firewalld

停止运行： systemctl stop firewalld

2.配置firewalld-cmd

查看版本： firewall-cmd --version

查看帮助： firewall-cmd --help

显示状态： firewall-cmd --state

查看所有打开的端口： firewall-cmd --zone=public --list-ports

更新防火墙规则： firewall-cmd --reload

更新防火墙规则，重启服务： firewall-cmd --completely-reload

查看已激活的Zone信息: firewall-cmd --get-active-zones

查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0

拒绝所有包：firewall-cmd --panic-on

取消拒绝状态： firewall-cmd --panic-off

查看是否拒绝： firewall-cmd --query-panic

3.信任级别，通过Zone的值指定

drop: 丢弃所有进入的包，而不给出任何响应

block: 拒绝所有外部发起的连接，允许内部发起的连接

public: 允许指定的进入连接

external: 同上，对伪装的进入连接，一般用于路由转发

dmz: 允许受限制的进入连接

work: 允许受信任的计算机被限制的进入连接，类似 workgroup

home: 同上，类似 homegroup

internal: 同上，范围针对所有互联网用户

trusted: 信任所有连接

4.firewall开启和关闭端口

以下都是指在public的zone下的 *** 作，不同的Zone只要改变Zone后面的值就可以

添加：

firewall-cmd --zone=public --add-port=80/tcp --permanent（--permanent永久生效，没有此参数重启后失效）

重新载入：

firewall-cmd --reload

查看：

firewall-cmd --zone=public --query-port=80/tcp

删除：

firewall-cmd --zone=public --remove-port=80/tcp --permanent

5.管理服务

以smtp服务为例， 添加到work zone

添加：

firewall-cmd --zone=work --add-service=smtp

查看：

firewall-cmd --zone=work --query-service=smtp

删除：

firewall-cmd --zone=work --remove-service=smtp

5.配置 IP 地址伪装

查看：

firewall-cmd --zone=external --query-masquerade

打开：

firewall-cmd --zone=external --add-masquerade

关闭：

firewall-cmd --zone=external --remove-masquerade

6.端口转发

打开端口转发，首先需要打开IP地址伪装

firewall-cmd --zone=external --add-masquerade

转发 tcp 22 端口至 3753：

firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753

转发端口数据至另一个IP的相同端口：

firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112

转发端口数据至另一个IP的 3753 端口：

firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112

6.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。

启动一个服务：systemctl start firewalld.service

关闭一个服务：systemctl stop firewalld.service

重启一个服务：systemctl restart firewalld.service

显示一个服务的状态：systemctl status firewalld.service

在开机时启用一个服务：systemctl enable firewalld.service

在开机时禁用一个服务：systemctl disable firewalld.service

查看服务是否开机启动：systemctl is-enabled firewalld.service

查看已启动的服务列表：systemctl list-unit-files|grep enabled

查看启动失败的服务列表：systemctl --failed

首先，进入cmd命令行界面：依次点击“开始”，“运行”，输入cmd命令即可。

接着，输入命令：netsh /?

查看netsh系统命令的帮助文件。

netsh命令的子参数中有两个命令是防火墙相关的：

firewall：防火墙配置的简单模式

advfirewall：防火墙配置的高级模式

先来看看防火墙配置的简单模式：firewall参数。

的确是简单模式，仅有几个参数。

假设要添加本地的TCP的3389端口对外开放，那么执行命令：

netsh firewall set portopening TCP 3389 ENABLE

成功执行命令之后，系统提示不赞成使用这个简单模式firewall，而是使用高级模式advfirewall。

接着把上面的测试防火墙设置删除掉：

netsh firewall delete portopening protocol=TCP port=3389

当然，系统会同样出现相同的提示。

既然系统都建议使用advfirewall这个参数了，下面来看看这个参数：

同样的，假设添加本地的TCP的3389端口对外开放：

netsh advfirewall firewall add rule name=baidujingyan dir=in action=allow protocol=TCP localport=3389

这次系统仅仅提示了一个OK。

接下来，来查看界面里的入站规则，可以发现和手动添加的效果是一样的。

然后，删掉前面添加的规则，只要执行命令：netsh advfirewall firewall delete rule name=baidujingyan protocol=tcp localport=3389

1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法： global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask] 9、访问控制列表ACL 访问控制列表的命令与couduit命令类似 10、侦听命令fixup 作用是启用或禁止一个服务或协议， 通过指定端口设置PIX防火墙要侦听listen服务的端口。 11、telnet 当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或 在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。 12、显示命令： showinterface ；查看端口状态。 showstatic；查看静态地址映射。 showip；查看接口ip地址。 showconfig；查看配置信息。 showrun；显示当前配置信息。 writeterminal；将当前配置信息写到终端。 showcpuusage；显示CPU利用率，排查故障时常用。 showtraffic；查看流量。 showblocks；显示拦截的数据包。 showmem；显示内存 13、DHCP服务 PIX具有DHCP服务功能。

求采纳

---