firewalld防火墙使用防火墙cmd命令行实用程序来配置防火墙规则。在执行任何配置之前，我们首先使用systemctl实用程序启用防火墙服务，如下所示：

　　$ sudo systemctl enable firewalld

　　启用后，您现在可以通过执行以下命令启动防火墙服务：

　　$ sudo systemctl start firewalld

　　您可以通过运行以下命令来验证firewalld的状态：

　　$ sudo systemctl status firewalld

　　以下输出确认防火墙服务已启动并正在运行。

　　使用防火墙配置规则

　　现在我们已运行防火墙，我们可以直接进行一些配置。Firewalld允许您添加和阻止端口，黑名单以及白名单IP地址，以提供对服务器的访问权限。完成配置后，请务必确保重新加载防火墙以使新规则生效。

　　1、添加一个TCP / UDP端口

　　要添加端口，请为HTTPS说端口443，请使用以下语法。请注意，您必须在端口号后指定端口是TCP还是UDP端口：

　　$ sudo firewall-cmd --remove-port=22/tcp --permanent

　　同样，要添加UDP端口，请指定UDP选项，如下所示：

　　$ sudo firewall-cmd --remove-port=53/udp --permanent

　　该--permanent标识可确保规则即使在重新启动后也仍然存在。

　　2、阻止TCP / UDP端口

　　要阻止TCP端口(如端口22)，请运行命令。

　　$ sudo firewall-cmd --remove-port=22/tcp --permanent

　　同样，阻止UDP端口将遵循相同的语法：

　　$ sudo firewall-cmd --remove-port=53/udp --permanent

　　3、允许服务

　　网络服务在/ etc / services文件中定义。要允许使用https之类的服务，请执行以下命令：

　　$ sudo firewall-cmd --add-service=https

　　4、阻止服务

　　要阻止服务，例如FTP，请执行：

　　$ sudo firewall-cmd --remove-service=https

　　5、将IP地址列入白名单

　　要在防火墙上允许一个IP地址，请执行以下命令：

　　$ sudo firewall-cmd --permanent --add-source=192.168.2.50

　　您还可以使用CIDR(无类域间路由)表示法来允许一系列IP或整个子网。例如，要允许255.255.255.0子网中的整个子网，请执行。

　　$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24

　　6、删除列入白名单的IP地址

　　如果要删除防火墙上的白名单IP，请使用--remove-source如下所示的标志：

　　$ sudo firewall-cmd --permanent --remove-source=192.168.2.50

　　对于整个子网，运行：

　　$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24

　　7、限制IP位址

　　到目前为止，我们已经了解了如何添加和删除端口和服务以及将白名单和IP列入白名单。为了阻止IP地址，为此使用了“ 丰富规则 ”。

　　例如，要阻止IP 192.168.2.50，请运行以下命令：

　　$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"

　　要阻止整个子网，请运行：

　　$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"

　　8、保存防火墙规则

　　如果您对防火墙规则进行了任何更改，则需要运行以下命令以立即应用更改：

　　$ sudo firewall-cmd --reload

　　9、查看防火墙规则

　　要查看防火墙中的所有规则，请执行以下命令：

　　$ sudo firewall-cmd --list-all