iptable常用参数-P#setdefaultpolicy-F#clearrulechain-L#viewrulechain-I#insertnewrulesattheheadofrulechain-A#addnewrulesat规则链末尾Rule-D#删除某条规则-s#匹配源地址IP/MASK,并加感叹号“!”排除这个ip-d#匹配目标地址-i<网卡名>#匹配从这个网卡流入的流量-o<网卡名>#匹配从这个网卡流出的流量-p#匹配协议,比如asTCP,UDP,ICMP--dport#匹配目标端口号--sport#匹配源端口号查看已有规则链iptables-Liptable--list设置默认规则链iptables-PINPUTDROP#设置INPUT规则链的默认策略为拒绝(其他参数包括ACCEPT、REJECT、LOG)#REJECT与DROP不同,REJECT会在拒绝流量后回复拒绝消息,DROP是直接丢弃流量自定义规则#添加允许icmp流量进入INPUT规则链的策略规则iptables-IINPUT-picmp-jACCEPT#只允许指定网段的主机访问本机22端口,拒绝其他主机访问iptables-IINPUT-ptcp-s10.0.0.1/24--dport22-jACCEPT#允许指定主机访问iptables-AINPUT-ptcp--dport22-jREJECT#拒绝其他主机访问#!!!需要注意的是iptables是按照配置的规则从下往上匹配的,在最前面的规则优先级高。#在INPUT链上添加拒绝所有主机访问本地1000-2000端口的策略规则iptables-AINPUT-ptcp--dport1000:2000-jREJECTfirewallddefaultareaandrulesfirewalld引入了area的概念,类似towindow家庭网络、工作网络、公共网络可以在不同区域之间切换,并有相应的默认规则。区域默认策略规则trusted允许所有数据包回家,拒绝外发数据包,除非它与入站流量相关;而如果流量与ssh、mdns、ipp-client、amba-client和dhcpv6-client服务相关,则allowtrafficinternal等同于拒绝home区域的传入流量,除非与传出流量相关;如果流量与ssh、ipp-client、amba-client和dhcpv6-client服务相关,则允许流量public拒绝传入流量,除非它与传出流量相关;如果流量与ssh、dhcpv6-client服务相关,则允许外部流量拒绝传入流量。除非与出站流量有关;如果流量与ssh服务相关,则允许流量dmz拒绝传入流量,除非它与传出流量相关drop拒绝传入流量,除非它与传出流量相关default-zonequerythedefaultzonename--set-default-zone=设置默认区域使其永久存在--get-zones显示可用区域--get-services显示预定义服务--get-actice-zones显示当前正在使用的区域和网卡名称--add-source=将流量从此IP或子网定向到指定区域--remove-source=从该IP或子网移除导入流量指定区域的设置--add-interface=将此网卡的所有流量发送到指定区域--change-interface=将指定网卡与指定区域相关联--list-all显示网卡配置参数等信息、当前区域的资源、端口、服务--list-all-zones显示所有区域的网卡配置参数、资源、端口、服务等信息--add-service=<服务名称>设置默认区域允许该服务的流量--add-port=<端口号/协议>设置默认区域允许该端口的流量--remove-service=<服务名称>设置默认区域不允许该端口的流量service--remove-port=设置默认区域不允许该端口的流量--reload使“永久”配置规则立即生效并覆盖当前配置规则--panic-on开启紧急模式--panic-off关闭紧急模式查看当前服务使用的区域firewall-cmd--get-default-zone查看指定网卡的区域firewall-cmd--get-zone-of-interface=ens33#查看ens33网卡的区域修改默认区域firewall-cmd--set-default-zone=public#设置默认zone为public允许服务通过firewall-cmd--zone=public--add-service=http#允许http协议流量firewall-cmd--zone=public--query-service=http#查询是否允许http所有不带--permanent参数的配置都会暂时生效,重启后恢复永久生效,立即生效firewall-cmd--permanent--zone=public--remove-service=http#永久模式拒绝http流量firewall-cmd--reloacd#重新加载配置文件允许端口通过firewall-cmd--zone=public--add-port=1000-2000/tcp#允许端口来自1000到2000通过firewall-cmd--zone=public--list-ports#查询端口转发firewall-cmd--permanent--zone=public--add-forward-port=port=888:proto=tcp:toport=22:toaddr=172.0.0.5#转发本机888端口到172.0.0.5的22端口
