Centos7防⽕墙快速开放端⼝配置⽅法
▲这篇⽂章主要为⼤家详细介绍了Centos7防⽕墙开放端⼝的快速⽅法,感兴趣的⼩伙伴们可以参考⼀下!
Firewalld服务是红帽RHEL7系统中默认的防⽕墙管理⼯具,特点是拥有运⾏时配置与永久配置选项且能够⽀持动态更新以及"zone"的区域功能概念,
使⽤图形化⼯具firewall-config或⽂本管理⼯具firewall-cmd
1、区域概念与作⽤:刘波许晴
 防⽕墙的⽹络区域定义了⽹络连接的可信等级,我们可以根据不同场景来调⽤不同的firewalld区域,区域规则有:水管漏水维修
特别需要注意的是firewalld服务有两份规则策略配置记录,必需要能够区分:
    RunTime:当前正在⽣效的。
    Permanent:永久⽣效的。
当下⾯实验修改的是永久⽣效的策略记录时,必须执⾏"--reload"参数后才能⽴即⽣效,否则要重启后再⽣效。
2、查看当前的区域:
[root@CentOS7 ~]# firewall-cmd --get-default-zone
public
3、查询⽹卡的区域:
[root@Centos7 ~]# firewall-cmd --get-zone-of-interface=eno16777736
public
4、在public中分别查询ssh与http服务是否被允许:
[root@Centos7 ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@Centos7 ~]# firewall-cmd --zone=public --query-service=http
no
5、实例A-允许https服务流量通过public区域,要求⽴即⽣效且永久有效:
  ⽅法⼀:设置当前⽣效的规则:
[root@Centos7 ~]# firewall-cmd --zone=public --add-service=https
success
[root@Centos7 ~]# firewall-cmd --reload
success
  ⽅法⼆:设置永久⽣效的规则:
[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@Centos7 ~]# firewall-cmd --reload
success
6、实例B-不再允许http服务流量通过public区域,要求⽴即⽣效且永久⽣效:
[root@Centos7 ~]# firewall-cmd --permanent --zone=public --remove-service=http
success
[root@Centos7 ~]# firewall-cmd --reload
韩天宇
success
7、实例C-允许8080与8081端⼝流量通过public区域,⽴即⽣效且永久⽣效:
[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
success
二级建筑师报考条件[root@Centos7 ~]# firewall-cmd --reload
success
8、实例D-查看模拟实验中的规则:
[root@Centos7 ~]# firewall-cmd --zone=public --list-services
dhcpv6-client http https ssh
[root@Centos7 ~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp
9、实例E:将访问主机888端⼝的请求转发⾄22端⼝:
[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.0.100
success
[root@Centos7 ~]# firewall-cmd --reload
success
10、例如安装Nagios后,要开放5666端⼝与服务器连接,命令如下:
#临时⽣效
[root@centos7 ~]# firewall-cmd --add-port=5666/tcp
success
#这⾥也可以是⼀个端⼝范围,如1000-2000/tcp
[root@centos7 ~]# firewall-cmd --add-port=1000-2000/tcp
success
#永久⽣效写⼊配置⽂件
[root@centos7 ~]# firewall-cmd --permanent --add-port=5666/tcp
success
#重新加载防⽕墙配置
[root@centos7 ~]# firewall-cmd --reload
success
11、例如需要对指定的ip开放http服务,指定的ip开放3306端⼝,命令如下:
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="172.17.0.1/16" port port="3306" protocol="tcp" accept'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"'
12、CentOS7快速开放端⼝:
CentOS升级到7之后,发现⽆法使⽤iptables控制Linuxs的端⼝,baidu之后发现Centos 7使⽤firewalld代替了原来的iptables。下⾯记录如何使⽤firewalld开放Linux端⼝:
开启端⼝:
[root@centos7 ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
取消端⼝开放:
[root@centos7 ~]# firewall-cmd --permanent --zone=public --remove-port=80/tcp
查询端⼝号80 是否开启:
[root@centos7 ~]# firewall-cmd --query-port=80/tcp
查询有哪些端⼝是开启的:
[root@centos7 ~]# firewall-cmd --list-port
命令含义:
--zone #作⽤域
--add-port=80/tcp #添加端⼝,格式为:端⼝/通讯协议
--permanent #永久⽣效,没有此参数重启后失效
重启防⽕墙
[root@centos7 ~]# firewall-cmd --reload
13、CentOS6防⽕墙开放端⼝:
在我们使⽤CentOS系统的时候,CentOS防⽕墙有时是需要改变设置的。CentOS防⽕墙默认是打开的,设置CentOS防⽕墙开放端⼝⽅法如下:
打开iptables的配置⽂件:vi /etc/sysconfig/iptables
修改CentOS防⽕墙时注意:⼀定要给⾃⼰留好后路,留VNC⼀个管理端⼝和SSh的管理端⼝
下⾯是⼀个iptables的⽰例:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m udp -p udp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-
A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 443 -j ACCEPT
员工奖励制度-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
修改CentOS防⽕墙需要注意的是,你必须根据⾃⼰服务器的情况来修改这个⽂件。举例来说,如果你不希望开放80端⼝提供web服务,那么应该相应的删除这⼀⾏:iptables -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
# 开放端⼝
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 关闭端⼝
王心凌初夜iptables -A INPUT -p tcp --dport 22 -j DROP
#可以查看到每个规则chain  的序列号,只能这样才能删除指定的规则。
iptables -L -n  --line-number
#例如删除INPUT的第⼆条规则⽤如下命令。
iptables -D INPUT 2
全部修改完之后重启iptables
service iptables restart
你可以验证⼀下是否规则都已经⽣效:
iptables -L
这样,我们就完成了CentOS防⽕墙的设置修改。