centos7的防火墻分兩種册烈,一種是firewall钮孵,另一種是iptables骂倘,這兩種的配置方式不同。iptables可以配置的規(guī)則過(guò)于精細(xì)巴席,功能十分強(qiáng)大历涝,這里不細(xì)說(shuō)。
1.firewall
1.1基本操作
啟動(dòng)防火墻 systemctl start firewalld
關(guān)閉防火墻 systemctl stop firewalld
查看防火墻運(yùn)行狀態(tài) systemctl status firewalld
查看防火墻當(dāng)前規(guī)則 firewall-cmd --list-all
重載防護(hù)墻 firewall-cmd –reload
1.2期望的防火墻效果
-
對(duì)所有IP開放所有端口
只需要關(guān)閉防火墻即可情妖。
-
對(duì)所有IP開放指定端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
把上面命令的80替換成你想要開放的端口即可睬关。
| 參數(shù) | 解釋 |
|---|---|
| --zone=public | 指定該規(guī)則的作用域?yàn)閜ublic小槐,除非配置多個(gè)自定義zone力穗,否則此項(xiàng)不需要更改。 |
| --add-port=80/tcp | 表示添加一個(gè)端口哀卫,該端口僅限tcp的連接方式料睛,udp的方式則寫80/udp丐箩。 |
| --permanent | 將此配置寫入配置文件,重啟后不失效恤煞,否則防火墻重啟后該規(guī)則會(huì)失效屎勘。 |
-
對(duì)指定IP開放所有端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" accept'
| 參數(shù) | 解釋 |
|---|---|
| --add-rich-rule | 添加自定義規(guī)則,如果要移除一個(gè)規(guī)則要替換為--remove-rich-rule |
| family | 允許訪問的IP模式 |
| source address | 來(lái)源IP |
| accept | 允許訪問 |
-
對(duì)指定IP開放指定端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090" accept'
-
對(duì)指定IP段開放指定端口
只需要在上面命令中的IP部分后面添加子網(wǎng)掩碼的位數(shù)居扒,同時(shí)將最后IP最后一部分改成0即可概漱。如:source address="192.168.163.0/24"
子網(wǎng)掩碼中
255.255.255.0對(duì)應(yīng)24
255.255.0.0對(duì)應(yīng)16
具體的轉(zhuǎn)換機(jī)制可以直接百度搜子網(wǎng)掩碼轉(zhuǎn)換器
-
開放指定范圍的端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090-10000" accept'
-
移除規(guī)則
--add-port添加的規(guī)則使用--remove-port來(lái)移除
--add-rich-rule添加的規(guī)則使用--remove-rich-rule來(lái)移除
如:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090" accept'
