Centos升级到7之后,发现无法使用iptables控制Linuxs的端口,google之后发现Centos 7使用firewalld代替了原来的iptables。下面记录如何使用firewalld开放Linux端口:
1.快速使用说明
开启端口
#在tcp协议上开放80端口firewall-cmd --zone=public --add-port=80/tcp --permanent#重新加载防火墙规则firewall-cmd --reload
开端端口区间
#在tcp协议上开放8080-8090的端口firewall-cmd --permanent --zone=public --add-port=8080-8090/tcp #在udp协议上开放8080-8090的端口firewall-cmd --permanent --zone=public --add-port=8080-8090/udp #重新加载防火墙规则firewall-cmd --reload
命令含义
--zone #作用域--add-port=80/tcp #添加端口,格式为:端口/通讯协议--permanent #永久生效,没有此参数重启后失效
重启防火墙
firewall-cmd --reload
查询firewalld的状态
systemctl status firewalld
2.firewalld简介
firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念
firewalld有图形界面和工具界面,由于我在服务器上使用,图形界面请参照官方文档,本文以字符界面做介绍
firewalld的字符界面管理工具是 firewall-cmd
firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)
zone概念
硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域(根据文档自己理解,如果有误请指正):
- drop:默认丢弃所有包
- block:拒绝所有外部连接,允许内部发起的连接
- public:指定外部连接可以进入
- external:这个不太明白,功能上和上面相同,允许指定的外部连接
- dmz:和硬件防火墙一样,受限制的公共连接可以进入
- work:工作区,概念和workgoup一样,也是指定的外部连接允许
- home:类似家庭组
- internal:信任所有连接
对防火墙不算太熟悉,还没想明白public、external、dmz、work、home从功能上都需要自定义允许连接,具体使用上的区别还需高人指点
3.安装firewalld
yum install firewalld firewall-config
4.firewalld常用命令
#启动:systemctl start firewalld#查看状态:systemctl status firewalld 或者 firewall-cmd --state#停止:systemctl disable firewalld#禁用:systemctl stop firewalld
5.systemctl
systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewalld.service 显示一个服务的状态:systemctl status firewalld.service 在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemctl is-enabled firewalld.service 查看已启动的服务列表:systemctl list-unit-files|grep enabled 查看启动失败的服务列表:systemctl --failed6.配置firewalld
#查看版本:firewall-cmd --version#查看帮助:firewall-cmd --help#查看设置: #显示状态: firewall-cmd --state #查看区域信息: firewall-cmd --get-active-zones #查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0#拒绝所有包:firewall-cmd --panic-on#取消拒绝状态:firewall-cmd --panic-off#查看是否拒绝:firewall-cmd --query-panic#更新防火墙规则:firewall-cmd --reloadfirewall-cmd --complete-reload
两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务
将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0
永久生效再加上 --permanent 然后reload防火墙
设置默认接口区域
firewall-cmd --set-default-zone=public
立即生效无需重启
打开端口(貌似这个才最常用)
查看所有打开的端口:
firewall-cmd --zone=public --list-ports
加入一个端口到区域:
firewall-cmd --zone=public --add-port=8080/tcp
若要永久生效方法同上
打开一个服务
类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
firewall-cmd --zone=work --add-service=smtp
移除服务
firewall-cmd --zone=work --remove-service=smtp