1.端口管理
(1)列出DMZ区域开放的端口
~]#firewall-cmd --zone=dmz --list-ports
(2)8080端口加入dmz区
~]#firewall-cmd --zone=dmz --add-port=/tcp
(3)将UDP端口段加入public区域,并永久生效
~]#firewall-cmd --zone=public --add-port=-/udp --permanent
2.网卡管理
(1)列出public zone所有网卡
~]#firewall-cmd --zone=public --list-interfaces
(2)将eno1添加到public区域,并使其永久生效
~]#firewall-cmd --zone=public --permanent --add-interface=eno1
(3)将eno1从public区域删除,并添加到work zone,使其永久生效
~]#firewall-cmd --zone=work --permanent --change-interfaces=eno1
~]#firewall-cmd --zone=public --permanent --remove-interfaces=eno1
3.服务管理
(1)将SMTP服务添加到work zone
~]#firewall-cmd --zone=work --add-service=smtp
(2)移除work zone中的SMTP服务
~]#firewall-cmd --zone=work --permanent --remove-service=smtp
4.配置IP地址伪装
~]#firewall-cmd --zone=external --query-masquerade #查看地址伪装
~]#firewall-cmd --zone=external --add-masquerade #开启伪装
~]#firewall-cmd --zone=external --remove-masquerade #关闭伪装
5.配置public zone端口转发
~]#firewall-cmd --zone=public --add-masquerade #端口需要先开启IP地址伪装
~]#firewall-cmd --zone=public --add-forward-port=port=:proto=TCP:toport= #转发TCP 22端口到3753
~]#firewall-cmd --zone=public --add-forward-port=port=:proto=TCP:toaddr=172.16.12.152 #转发TCP 22端口到另一个IP地址的相同端口上
~]#firewall-cmd --zone=public --add-forward-port=port=:proto=TCP:toport=:toaddr=172.16.12.163 #转发TCP 22端口到另一个IP的2049端口
6.配置public区域的icmp
~]#firewall-cmd --get-icmptypes #查看所有支持的icmp类型
~]#firewall-cmd --zone=public --list-icmp-blocks #列出icmp阻塞
~]#firewall-cmd --zone=public --add-icmp-block=echo-request --timeout=seconds #添加echo-request屏蔽
~]#firewall-cmd --zone=public --remove-icmp-block=echo-reply #移除echo-reply阻塞
7.封禁IP
~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.100' reject" #禁止单个IP地址
~]#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.16.12.0/24' reject" #禁止IP地址段
~]#firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.16.12.200 port port=80 protocol=tcp accept" #只允许172.16.12.200的80端口的tcp访问