RockyLinux firewalld命令详解（手把手教你配置动态防火墙）

什么是 firewalld？

firewalld 是一个支持动态更新的防火墙管理器，它使用“区域（zones）”的概念来定义网络连接或接口的信任级别。与传统的 iptables 不同，firewalld 允许你在不中断现有连接的情况下实时修改规则，非常适合生产环境使用。

检查 firewalld 状态

首先，确认 firewalld 是否正在运行：

# 查看 firewalld 服务状态sudo systemctl status firewalld  

如果服务未启动，可以使用以下命令启用并启动它：

# 启用并启动 firewalldsudo systemctl enable --now firewalld  

常用 firewalld 命令

下面是一些最常用的 RockyLinux firewalld命令，帮助你快速管理防火墙规则。

1. 查看当前活动区域

firewall-cmd --get-active-zones  

2. 查看默认区域

firewall-cmd --get-default-zone  

3. 永久开放一个端口（例如 80 端口）

# 临时开放（重启后失效）firewall-cmd --add-port=80/tcp# 永久开放（推荐）firewall-cmd --permanent --add-port=80/tcp# 重新加载配置使永久规则生效firewall-cmd --reload  

4. 允许特定服务（如 SSH、HTTP）

# 永久允许 SSH 服务firewall-cmd --permanent --add-service=ssh# 永久允许 HTTP 服务firewall-cmd --permanent --add-service=http# 重载配置firewall-cmd --reload  

理解“区域（Zones）”概念

firewalld 使用“区域”来分类网络环境的安全级别。常见的区域包括：

• public：默认区域，适用于公共网络，只允许选定的传入连接。
• trusted：信任所有连接，适用于完全可信的内部网络。
• drop：丢弃所有传入数据包，不作任何回应，安全性最高。

你可以根据服务器用途选择合适的区域。例如，Web 服务器通常使用 public 区域。

实战：配置 Web 服务器防火墙

假设你要部署一个 Web 服务器，需要开放 80（HTTP）和 443（HTTPS）端口：

# 永久开放 HTTP 和 HTTPSfirewall-cmd --permanent --add-service=httpfirewall-cmd --permanent --add-service=https# 或者直接开放端口firewall-cmd --permanent --add-port=80/tcpfirewall-cmd --permanent --add-port=443/tcp# 重载配置firewall-cmd --reload# 验证规则是否生效firewall-cmd --list-all  

总结

通过本教程，你应该已经掌握了基本的 RockyLinux firewalld命令 和 动态防火墙配置 方法。firewalld 的强大之处在于其“动态”特性——你可以在不中断服务的情况下调整规则，这对于运维人员来说非常实用。

记住几个关键点：

• 使用 --permanent 参数才能让规则永久生效。
• 修改永久规则后必须执行 firewall-cmd --reload。
• 善用 --list-all 查看当前区域的所有规则。

希望这篇 RockyLinux防火墙教程 能帮助你安全高效地管理你的服务器。如果你觉得有用，欢迎收藏并分享给其他 Linux 爱好者！

关键词：RockyLinux firewalld命令、动态防火墙配置、RockyLinux防火墙教程、firewalld使用指南