Centos7 firewall防火墻常用配置

一本讥、 Centos7和Centos6 防火墻的區(qū)別：

使用的工具不一樣了呕臂。Centos6 使用的是iptables炭分，Centos7 使用的是filewall
iptables 用于過濾數(shù)據(jù)包，屬于網(wǎng)絡(luò)層防火墻都伪。
firewall 能夠允許哪些服務(wù)可用最欠，那些端口可用...屬于更高一層的防火墻示罗。

二、常用命令：

vim  /usr/lib/firewalld/services/ssh.xml
vim  /usr/lib/firewalld/services/http.xml
systemctl enable firewalld.service
systemctl restart firewalld.service
firewall-cmd --state    查看狀態(tài)
firewall-cmd --list-all   查看過濾的列表信息
firewall-cmd --zone=public --permanent --add-port=8502/tcp     添加一個協(xié)議為tcp的8502端口過濾
vim /etc/firewalld/zones/public.xml     <port protocol="tcp" port="8502"/>
systemctl restart firewalld.service

三芝硬、firewall 配置
配置介紹：

The configuration for firewalld is stored in various XML files
in /usr/lib/firewalld and /etc/firewalld
This allows a great deal of flexibility as the files can be edited, written to, backed up, used as templates for other installations and so on.

firewalld的配置存儲在各種XML文件中
在/usr/lib/firewalld和/etc/firewalld中
這允許極大的靈活性蚜点，因為文件可以被編輯、寫入拌阴、備份绍绘、用作其他安裝的模板等等。

注意：以下firewalld 的操作只有重啟之后才有效：service firewalld restart
1迟赃、系統(tǒng)配置目錄（/usr/lib/firewalld/services）
目錄中存放定義好的網(wǎng)絡(luò)服務(wù)和端口參數(shù)陪拘，系統(tǒng)參數(shù)，不能修改纤壁。

image.png

2左刽、用戶配置目錄（/etc/firewalld/）

image.png

3、如何自定義添加端口
用戶可以通過修改配置文件的方式添加端口酌媒，也可以通過命令的方式添加端口欠痴，注意：修改的內(nèi)容會在/etc/firewalld/目錄下的配置文件中體現(xiàn)迄靠。
3.1 、命令的方式添加端口：

firwall-cmd --permanent --add-port=9527/tcp

參數(shù)介紹：
1喇辽、firwall-cmd：是Linux提供的操作firewall的一個工具掌挚；
2、--permanent：表示設(shè)置為持久菩咨；
3吠式、--add-port：標(biāo)識添加的端口；
另外旦委，firewall中有Zone的概念，可以將具體的端口制定到具體的zone配置文件中雏亚。

例如：添加8010端口
firewall-cmd --zone=public --permanent --add-port=8010/tcp
--zone=public：指定的zone為public缨硝；
如果--zone=dmz 這樣設(shè)置的話，會在dmz.xml文件中新增一條罢低。

3.2查辩、修改配置文件的方式添加端口

<?xml version="1.0" encoding="utf-8"?>
<zone>   
<short>Public</short>  
<description>For use in public areas.</description>   
<rule family="ipv4">    
<source address="122.10.70.234"/>     
<port protocol="udp" port="514"/>     
<accept/>   
</rule>   
<rule family="ipv4">     
<source address="123.60.255.14"/>     
<port protocol="tcp" port="10050-10051"/>     
<accept/>  
</rule>  
<rule family="ipv4">     
<source address="192.249.87.114"/> 放通指定ip，指定端口网持、協(xié)議     
<port protocol="tcp" port="80"/>     
<accept/>   
</rule>
<rule family="ipv4"> 放通任意ip訪問服務(wù)器的9527端口     
<port protocol="tcp" port="9527"/>     
<accept/>   
</rule>
</zone>

上述的一個配置文件可以很好的看出：
1宜岛、添加需要的規(guī)則，開放通源ip為122.10.70.234功舀，端口514萍倡，協(xié)議tcp；
2辟汰、開放通源ip為123.60.255.14列敲，端口10050-10051，協(xié)議tcp帖汞；
3戴而、開放通源ip為任意，端口9527翩蘸，協(xié)議tcp所意；

四、firewall常用命令
1催首、重啟扶踊、關(guān)閉、開啟郎任、firewalld.serverice 服務(wù)

Service firewalld restart 重啟
Service firewalld start  開啟
Service firewalld stop  關(guān)閉
systemctl status firewalld  查看狀態(tài)
systemctl stop firewalld  關(guān)閉
systemctl start firewalld 開啟
systemctl  restart firewalld 重啟
systemctl  disable firewalld  關(guān)閉開機啟動

2姻檀、查看狀態(tài)

firewall-cmd --state

3、查看防火墻規(guī)則

firewall-cmd --list-all

五涝滴、Centos 切換為iptables防火墻
提示：切換到iptables首先應(yīng)該關(guān)掉默認的firewalld绣版，然后安裝iptables服務(wù)胶台。
1、關(guān)閉firewall：

systemctl stop firewalld.service
systemctl disable firewalld.service #禁止firewall開機啟動

2杂抽、安裝iptables防火墻：

yum install iptables-services #安裝

3诈唬、編輯iptables防火墻配置：

vim  /etc/sysconfig/iptables #編輯防火墻配置文件

下邊是一個完整的配置文件：

Firewall configuration written by system-config-firewall  Manual customization of this file is not recommended.  
*filter  :INPUT ACCEPT [0:0]  :FORWARD ACCEPT [0:0]  :OUTPUT ACCEPT [0:0]  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  -A INPUT -p icmp -j ACCEPT  -A INPUT -i lo -j ACCEPT  -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT  -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT  -A INPUT -j REJECT --reject-with icmp-host-prohibited  -A FORWARD -j REJECT --reject-with icmp-host-prohibited  COMMIT

:wq! #保存退出

service iptables start 或 systemctl start iptables.service #開啟
systemctl enable iptables.service #設(shè)置防火墻開機啟動

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個濱河市缩麸，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌杭朱，老刑警劉巖，帶你破解...
沈念sama閱讀 222,464評論 6贊 517
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件弧械，死亡現(xiàn)場離奇詭異，居然都是意外死亡刃唐，警方通過查閱死者的電腦和手機羞迷，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 95,033評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來衔瓮，“玉大人，你說我怎么就攤上這事热鞍。” “怎么了衔彻？”我有些...
開封第一講書人閱讀 169,078評論 0贊 362
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵碍现，是天一觀的道長。經(jīng)常有香客問我米奸，道長，這世上最難降的妖魔是什么悴晰？我笑而不...
開封第一講書人閱讀 59,979評論 1贊 299
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮漂辐，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘髓涯。我一直安慰自己哈扮，他們只是感情好纬纪，可當(dāng)我...
茶點故事閱讀 69,001評論 6贊 398
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著摘仅，像睡著了一般问畅。火紅的嫁衣襯著肌膚如雪娃属。梳的紋絲不亂的頭發(fā)上护姆，一...
開封第一講書人閱讀 52,584評論 1贊 312
城市分裂傳說
那天，我揣著相機與錄音秩铆，去河邊找鬼渐裂。笑死豺旬，一個胖子當(dāng)著我的面吹牛柒凉，可吹牛的內(nèi)容都是我干的篓跛。我是一名探鬼主播，決...
沈念sama閱讀 41,085評論 3贊 422
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼愧沟，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了林艘？” 一聲冷哼從身側(cè)響起混坞，我...
開封第一講書人閱讀 40,023評論 0贊 277
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎究孕，沒想到半個月后，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體厨诸，經(jīng)...
沈念sama閱讀 46,555評論 1贊 319
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 38,626評論 3贊 342
?白月光啟示錄
正文我和宋清朗相戀三年绘趋，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片埋心。...
茶點故事閱讀 40,769評論 1贊 353
活死人
序言：一個原本活蹦亂跳的男人離奇死亡拷呆，死狀恐怖闲坎，靈堂內(nèi)的尸體忽然破棺而出茬斧，到底是詐尸還是另有隱情，我是刑警寧澤项秉，帶...
沈念sama閱讀 36,439評論 5贊 351
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站怖喻，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏锚沸。R本人自食惡果不足惜涕癣，卻給世界環(huán)境...
茶點故事閱讀 42,115評論 3贊 335
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望坠韩。院中可真熱鬧，春花似錦只搁、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,601評論 0贊 25
一樁弒父案明肮，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽菱农。三九已至柿估，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背绣檬。一陣腳步聲響...
開封第一講書人閱讀 33,702評論 1贊 274
情欲美人皮
我被黑心中介騙來泰國打工嫂粟，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留，地道東北人星虹。一個月前我還...
沈念sama閱讀 49,191評論 3贊 378
代替公主和親
正文我出身青樓，卻偏偏與公主長得像平夜，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子忽妒，可洞房花燭夜當(dāng)晚...
茶點故事閱讀 45,781評論 2贊 361

Centos7 firewall防火墻常用配置

推薦閱讀更多精彩內(nèi)容