如何在 Rocky Linux 9 中查看并修改系统的防火墙规则？

在Rocky Linux 9中，防火墙管理主要基于firewalld服务，底层使用nftables实现。以下为实践中的操作步骤及经验总结：

一、查看防火墙规则

1. 检查服务状态：

   systemctl status firewalld  # 确认firewalld是否运行
   firewall-cmd --state        # 显示当前防火墙状态

2. 查看规则详情：

   firewall-cmd --list-all               # 显示默认区域（如public）的完整配置
   firewall-cmd --zone=public --list-all # 指定区域查看规则
   firewall-cmd --list-rich-rules        # 查看复杂规则（如IP/端口限制）

二、修改防火墙规则

1. 基础操作：
   • 开放HTTP服务：

     firewall-cmd --add-service=http --permanent  # --permanent保存配置
     firewall-cmd --reload                        # 重新加载生效

   • 直接开放端口：

     firewall-cmd --add-port=8080/tcp --permanent

2. 高级配置（如端口转发）：

   firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent

三、实践经验与挑战

1. 配置生效问题：
   • 未使用--permanent参数会导致重启后规则丢失，需搭配firewall-cmd --reload。
   • 规则冲突时，使用--remove-service或--remove-port清理旧配置。
2. 区域管理陷阱：
   • 默认区域可能非public，需通过firewall-cmd --get-default-zone确认。
   • 多网卡场景需为不同接口绑定独立区域（--zone=... --change-interface=ethX）。
3. 复杂规则调试：
   • 富规则（Rich Rules）语法易错，建议分阶段测试，例如先放行IP再限制端口。
   • 使用nft list ruleset直接查看nftables底层规则，辅助排查firewalld转换错误。
4. 与其他服务冲突：
   • Docker等容器工具可能绕过firewalld，需配置firewalld信任Docker网桥或改用docker zone。

四、备份与恢复

• 备份配置：cp -r /etc/firewalld/ ~/firewalld_backup
• 紧急回滚：systemctl restart firewalld恢复最后一次加载的配置。

通过上述方法，可高效管理Rocky Linux 9防火墙，但需注意生产环境中充分测试规则变更，避免网络中断。

在 Rocky Linux 9 中，可通过 firewall-cmd 工具管理防火墙。查看当前规则使用 firewall-cmd --list-all；添加 HTTP 端口允许规则示例：sudo firewall-cmd --permanent --add-service=http，完成后执行 sudo firewall-cmd --reload 生效。

延伸知识点：Firewalld 区域（Zones）。Firewalld 使用区域（如 public、home、internal）划分不同信任级别的网络环境。每个区域可独立配置规则，例如：

1. 查看默认区域：firewall-cmd --get-default-zone
2. 修改接口所属区域：firewall-cmd --zone=work --change-interface=eth0
3. 自定义区域需先创建，再绑定规则，适用于复杂网络隔离场景。

在Rocky Linux 9中，使用firewall-cmd --list-all查看防火墙规则，修改规则可通过firewall-cmd --add-port=端口/协议 --permanent添加端口后执行firewall-cmd --reload生效。

在Rocky Linux 9中，防火墙管理主要依赖firewalld工具。

1. 查看规则：

   • 运行 sudo firewall-cmd --list-all 可查看当前区域（默认public）的完整规则，包括开放端口、服务及富规则。
   • 使用 sudo firewall-cmd --list-all-zones 可查看所有区域的配置。

2. 修改规则：

   • 开放端口：sudo firewall-cmd --permanent --add-port=端口号/协议（如80/tcp），完成后执行 sudo firewall-cmd --reload 生效。
   • 添加服务：sudo firewall-cmd --permanent --add-service=服务名（如http）。
   • 删除规则：将 --add 替换为 --remove 即可反向操作。

3. 重要建议：

   • 始终通过 --permanent 参数修改持久化配置，避免重启后丢失。
   • 修改后必须执行 sudo firewall-cmd --reload 而非重启服务，以确保业务连续性。
   • 复杂规则建议使用 --zone= 指定区域，或用 --rich-rule 定义精细化策略。

4. 排错：

   • 若规则未生效，检查firewalld状态：systemctl status firewalld
   • 使用 sudo firewall-cmd --runtime-to-permanent 可将临时规则转为永久配置。

1. 检查防火墙状态

   sudo systemctl status firewalld  # 确认服务是否运行
   sudo firewall-cmd --state        # 查看防火墙是否激活

2. 查看现有规则

   sudo firewall-cmd --list-all           # 显示所有规则（含服务/端口/区域）
   sudo firewall-cmd --list-ports         # 仅显示开放端口
   sudo firewall-cmd --list-services       # 显示允许的服务（如ssh/http）

3. 临时添加规则（重启失效）

   sudo firewall-cmd --add-port=8080/tcp         # 开放TCP 8080端口
   sudo firewall-cmd --add-service=http         # 允许HTTP服务

4. 永久修改规则 添加 --permanent 参数并重载：

   sudo firewall-cmd --permanent --add-port=3306/tcp
   sudo firewall-cmd --permanent --remove-service=ftp
   sudo firewall-cmd --reload  # 必须执行以应用永久规则

5. 删除规则

   sudo firewall-cmd --remove-port=22/udp     # 删除UDP 22端口
   sudo firewall-cmd --permanent --remove-service=dhcpv6

注意：

• 使用 --zone=public 等参数可指定配置区域（默认public）
• 复杂规则建议通过 --rich-rule 或编辑XML配置文件（/etc/firewalld/）实现
• 修改后务必通过 firewall-cmd --runtime-to-permanent 保存临时规则

是否考虑过使用nftables替代firewalld来管理网络流量，它提供了更底层的规则配置能力？

在Rocky Linux 9中，防火墙默认使用firewalld服务进行管理。以下是查看及修改规则的核心步骤：

1. 查看当前规则

   • 运行 firewall-cmd --list-all 查看所有开放端口、服务及规则。
   • 使用 firewall-cmd --state 确认防火墙是否运行。

2. 修改规则

   • 开放端口：firewall-cmd --add-port=端口号/协议（tcp/udp） --permanent（如 80/tcp）。
   • 添加服务：firewall-cmd --add-service=服务名（如http、ssh） --permanent。
   • 删除规则：将--add替换为--remove。

3. 生效配置

   • 执行 firewall-cmd --reload 使永久规则生效。
   • 临时规则可省略--permanent，但重启后会失效。

4. 高级操作

   • 通过 /etc/firewalld/zones/ 直接编辑XML配置文件（需谨慎）。
   • 使用 --zone=区域名 指定不同网络区域（默认public）。

注意：修改前确保SSH等关键服务端口开放，避免远程连接中断。建议先测试临时规则，确认无误后再保存为永久规则。

在Rocky Linux 9里看防火墙规则，直接用 sudo firewall-cmd --list-all 就能看到当前配置。想改规则的话，比如开个端口，用 sudo firewall-cmd --add-port=80/tcp --permanent（--permanent是让规则重启后也生效），改完记得sudo firewall-cmd --reload刷新生效。删规则就把--add换成--remove。全程用firewalld操作，别用iptables哈！