Linux用firewalld配置端口需选对区域并区分临时与永久规则：临时规则不加--permanent，永久规则须配合--reload生效；开放端口需指定协议（TCP/UDP），限制访问可使用富规则。

Linux 用 firewalld 配置端口，核心就两点：选对区域、分清临时和永久。

确认防火墙状态和默认区域

先看 firewalld 是否在运行：

• 查看状态：firewall-cmd --state（返回 running 表示已启动）
• 查默认区域：firewall-cmd --get-default-zone（多数系统默认是 public）
• 查当前活跃区域及接口：firewall-cmd --get-active-zones

开放单个或多个端口

记住：不加 --permanent 是临时生效，重启就丢；加了必须配合 --reload 才真正持久。

• 临时开放 TCP 8080 端口：firewall-cmd --zone=public --add-port=8080/tcp
• 永久开放 UDP 53 端口：firewall-cmd --zone=public --add-port=53/udp --permanent
• 批量开 TCP 2000–2100 端口：firewall-cmd --permanent --add-port=2000-2100/tcp
• 重载使永久规则生效：firewall-cmd --reload

验证和清理端口规则

别只配不查，配完马上验证，避免白忙活。

• 列出当前开放的所有端口：firewall-cmd --zone=public --list-ports
• 查看该区域全部配置（含服务、端口、富规则）：firewall-cmd --zone=public --list-all
• 删除某个永久端口（如关掉 8080）：firewall-cmd --permanent --remove-port=8080/tcp，再 --reload

限制访问来源（进阶但实用）

只让特定 IP 或网段访问某端口，比全放开更安全。

• 只允许 192.168.1.100 访问 3306：firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' port port='3306' protocol='tcp' accept"
• 允许整个 192.168.1.0/24 网段访问 80：firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' port port='80' protocol='tcp' accept"
• 加完 rich rule 同样要 --reload，查看用 firewall-cmd --list-rich-rules

基本上就这些。配端口不复杂，但容易忽略 --permanent 和 --reload 的搭配，也容易搞混 TCP/UDP 协议类型——数据库一般用 TCP，DNS 常用 UDP，别写反。