CentOS7 防火墙

厌伴老儒烹瓠叶,强随举子踏槐花。这篇文章主要讲述CentOS7 防火墙相关的知识,希望能为你提供帮助。
一、FirewallDCentOS7默认防火墙,提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。
常用操作

systemctl start firewalld.service #启动firewall
systemctl stop firewalld.service#停止firewall
systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --version#查看版本
systemctl status firewalld.service#查看状态
OR
firewall-cmd --state
firewall-cmd --get-active-zones#获取启用的zone
firewall-cmd --list-all#查看开放的端口和服务
firewall-cmd --zone=public --list-all #查看指定区域中开放的端口和服务
firewall-cmd --get-services#查看系统中可用服务

firewall-cmd --reload#重启firewalld,不用重启服务
firewall-cmd --complete-reload#需要重启服务

firewall-cmd --add-service=ftp#临时开放FTP

firewall-cmd --add-service=ftp --permanent#永久开放FTP
firewall-cmd --remove-service=ftp --permanent#永久关闭FTP

systemctl restart firewalld#让设定生效
firewall-cmd --query-service ftp#查看启用状态
firewall-cmd --add-port=3128/tcp#添加端口
# 要永久生效,使用
firewall-cmd --permanent --add-port=3128/tcp
# 指定区添加端口区间
firewall-cmd --zone=public --add-port=3128-3140/tcp --permanent
Postgresql端口设置。允许192.168.142.166访问5432端口
# 允许 192.168.1.6访问本机5432端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.6" port protocol="tcp" port="5432" accept"
# 限制某ip不能访问
firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=111.111.111.111 reject"
# 限制ip对某端口的访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.111.111" port port="80" protocol="udp" drop"

二、iptables如果你想使用自己的 iptables 和 ip6tables 静态防火墙规则, 需要安装 iptables-services 并且禁用 firewalld ,启用 iptables 和ip6tables。
静态防火墙规则配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables。
yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service

systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

启动、停止命令
service iptables status查询防火墙状态
service iptables stop停止
service iptables start启动
service iptables restart重启
chkconfig iptables off永久关闭
chkconfig iptables on永久关闭后启用

开启端口
方法一
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT写入修改
/etc/init.d/iptables save保存修改
service iptables restart重启防火墙,修改生效

方法二
vi /etc/sysconfig/iptables打开配置文件加入如下语句:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT重启防火墙,修改完成

关闭端口
方法一
/sbin/iptables -I INPUT -p tcp --dport 80 -j DROP写入修改
/etc/init.d/iptables save保存修改
service iptables restart重启防火墙,修改生效

方法二
vi /etc/sysconfig/iptables打开配置文件加入如下语句:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j DROP
重启防火墙,修改完成

只允许指定ip访问指定的端口
iptables -A INPUT -s 74.82.164.142 -p tcp --dport 9306 -j ACCEPT
iptables -A INPUT -p tcp --dport 9306 -j DROP # 如果在iptables表最下面有一条拒绝所有规则以外的规则的话,则这行不用写。

允许某IP访问所有端口
-A INPUT -p tcp -s ip地址 --dport 1024/65535-j ACCEPT
-A INPUT -p tcp -s ip地址 -j ACCEPT

查看端口状态
/etc/init.d/iptables status

更多查看这里?
三、静态防火墙(system-config-firewall/lokkit)使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。
firewall daemon 独立于 system-config-firewall,但二者不能同时使用。
【CentOS7 防火墙】


    推荐阅读