开启或关闭防火墙

systemctl enable firewalld
systemctl disable firewalld

将80端口的TCP访问添加到public区域，并且设置为永久生效

firewall-cmd --zone=public --add-port=80/tcp --permanent

重新加载firewalld配置

firewall-cmd --reload

查看已经开放的端口

firewall-cmd --zone=public --list-ports

要允许192.168.1.0/24子网的所有IP地址访问80端口

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port protocol="tcp" port="80" accept'

列出当前区域的规则

firewall-cmd --list-all --zone=public

开放HTTP服务

firewall-cmd --zone=public --add-service=http --permanent

去除HTTP服务

firewall-cmd --zone=public --remove-service=http

查看firewall所有可识别的服务

firewall-cmd --get-services

去除1521的TCP服务

firewall-cmd --zone=public --remove-port=1521/tcp

重载命令

firewall-cmd --reload

允许访问服务

firewall-cmd --permanent --add-service=cockpit

删除

firewall-cmd --permanent --remove-service=http

允许某一个IP访问

firewall-cmd --permanent --zone=trusted --add-source=172.25.254.36

删除

firewall-cmd --permanent --remove-source=172.25.254.36 --zone=trusted

黑名单：企业一般中block 有回应的拒绝

irewall-cmd --zone=block --add-source=172.25.254.36

删除

firewall-cmd --remove-source=172.25.254.250 --zone=block

丢弃：无回应的拒绝

firewall-cmd --zone=drop --add-source=172.25.254.36

删除

firewall-cmd --remove-source=172.25.254.250 --zone=drop

增加接口 到可信域

firewall-cmd --add-interface=eth0 --zone=trusted

改变接口 到公开域

firewall-cmd --change-interface=eth0 --zone=public

删除接口

firewall-cmd --remove-interface=eth0 --zone=public