1.先直接上命令
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address=1.2.3.4 service name=smtp reject' 注释:
- –zone:可选项,省略则为默认的zone,可用 ” firewall-cmd –get-default-zone”命令查看默认的zone;
- –add-rich-rule:用单引号标记的规则集,参数接下;
- rule:特定关键字,指明这是一条规则;
- family:限制规则中的 source 中的IP类型为 IPv4或IPv6;
- source:用 address 指定源IP,可用单一地址或掩码形式的IP段;还可用 port 指定单端口或端口范围;
- service:用 name 指定对此规则生效的服务名,可用 ” firewall-cmd –get-services ” 命令获取所有可用服务列表;
- accept | reject | drop | mark:此规则要操作的行为,只能是此4种操作之一。
2.删除指定的规则
把方面命令中的 –add-rich-rule 换成 –remove-rich-rule 即可。
3.其它相关命令
- 列出所有富语言规则列表
firewall-cmd --list-rich-rules- 列出当前防火墙所有规则,也包含富语言规则
firewall-cmd --list-all4.是否设定为重启后生效?
在上述设置后,会自动注入防火墙“运行配置”中生效,但重启系统或防火墙后,此规则会消失,因为重启系统或重启防火墙,会自动重新加载保存的“启动配置”生成“运行配置”。
因此,要使设置的规则能保存到“启动配置”文件中,需要在上面命令行的最后加入 –permanent 参数。如:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address=1.2.3.4 service name=smtp reject' --permanent但必须注意的是:
- 使用 –permanent 参数后,是直接写入“启动配置”文件,因此相应的删除语句也同样需要加入此参数。
- 使用 –permanent 参数后,仅写入“启动配置”文件,并不会改变“运行配置”,因此需要运行 firewall-cmd –reload 命令重新加载才能立即生效。