每日学习-ansible firewalld模块

firewalld模块用于在防火墙中添加或删除服务和端口

firewalld模块经常使用参数

• state：必须参数，指定防火墙策略状态，enable表示策略生效，disable表示策略禁用，present表示新建策略，absent表示删除策略
• service：向防火墙添加/删除的服务名称，该服务必须在firewall-cmd --get-services能够查询到
• port：要从防火墙添加或删除端口或端口范围，必须以端口/协议，端口范围/协议的形式书写
• permanent：保存策略，在下次启动时自动加载
• immediate：配置永久策略后当即生效
• interface：添加/删除 出入防火墙的接口
• offline：脱机状态运行防火墙
• zone：添加/删除防火墙区域，有以下区域可供配置
○ drop: 丢弃全部进入的包，而不给出任何响应
○ block: 拒绝全部外部发起的链接，容许内部发起的链接
○ public: 容许指定的进入链接
○ external: 同上，对假装的进入链接，通常用于路由转发
○ dmz: 容许受限制的进入链接
○ work: 容许受信任的计算机被限制的进入链接，相似 workgroup
○ home: 同上，相似 homegroup
○ internal: 同上，范围针对全部互联网用户
○ trusted: 信任全部链接
• source：指定从防火墙添加/删除的网段
• timeout：非永久性规则的生效时间

firewalld模块示例
一、放行httpd服务，当即生效，重启后依然生效

- name: http
  firewalld:
       service: http
    state: enabled
    permanent: yes
    immediate: yes

二、放行82端口，当即生效，重启后依然生效

- name: http-82
  firewalld:
       port: 82/tcp
    state: enabled
    permanent: yes
    immediate: yes

参考：ansible-doc firewalld