Centos 7.6中防火墙配置文件如何拦截所有OUTPUT数据,开放某几个输出端口?

你检查下你的firewall状态，systemctl status firewalld。是否在运行，在运行的话就说明已经开启firewall的。开启之后使用firewall-cmd --list-all，查看防火墙的开放情况。是否开启9999端口。如果没有开启确可以访问，你重启firewall。systemctl restart firewalld。然后试试看了。因为有时候临时加入的端口会在重启之后不生效的。

1.使用firewalld配置的防火墙策略默认为运行时（Runtime）模式，又称为当前生效模式，而且随着系统的重启会失效。

2.想让配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，永久生效模式设置的策略只有在系统重启之后才能自动生效。

3.如果想让配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

4.启动/关闭firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）：

[root@localhost ~]# firewall-cmd --panic-on

success

[root@localhost ~]# firewall-cmd --panic-off

success

5.流量转发

命令格式为firewall-cmd --permanent --zone=<区域>--add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

eg:把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto= tcp:toport=22:toaddr=192.168.10.10

success

[root@localhost ~]# firewall-cmd --reload

success

6.拒绝访问（富规则）

firewalld可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。

eg:

firewalld服务中配置一条富规则，使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）：

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"

success

[root@localhost ~]# firewall-cmd --reload

success

---