centos 7怎么设置防火墙

centos7 默认是firewalld

开启

systemctl start firewalld 启动

systemctl enable firewalld.service 开机启动

关闭

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

如果是iptables

将firewalld改为iptables

centos 7 和 redhat 7 一样，用firewalld代替了旧版本的 iptables。

新的防火墙管理命令firewall-cmd与图形化工具firewall-config。

Firewalld服务是红帽RHEL7系统中默认的防火墙管理工具，特点是拥有运行时配置与永久配置选项且能够支持动态更新以及"zone"的区域功能概念，使用图形化工具firewall-config或文本管理工具firewall-cmd，下面实验中会讲到~

8.3.1 区域概念与作用

防火墙的网络区域定义了网络连接的可信等级，我们可以根据不同场景来调用不同的firewalld区域，区域规则有：

编辑

区域默认规则策略

trusted允许所有的数据包。

home拒绝流入的数据包，除非与输出流量数据包相关或是ssh,mdns,ipp-client,samba-client与dhcpv6-client服务则允许。

internal等同于home区域

work拒绝流入的数据包，除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。

public拒绝流入的数据包，除非与输出流量数据包相关或是ssh,dhcpv6-client服务则允许。

external拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。

dmz拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。

block拒绝流入的数据包，除非与输出流量数据包相关。

drop拒绝流入的数据包，除非与输出流量数据包相关。

简单来讲就是为用户预先准备了几套规则集合，我们可以根据场景的不同选择合适的规矩集合，而默认区域是public。

8.3.2 字符管理工具

如果想要更高效的配置妥当防火墙，那么就一定要学习字符管理工具firewall-cmd命令,命令参数有：

编辑

参数作用

--get-default-zone查询默认的区域名称。

--set-default-zone=<区域名称> 设置默认的区域，永久生效。

--get-zones显示可用的区域。

--get-services显示预先定义的服务。

--get-active-zones显示当前正在使用的区域与网卡名称。

--add-source=将来源于此IP或子网的流量导向指定的区域。

--remove-source=不再将此IP或子网的流量导向某个指定区域。

--add-interface=<网卡名称> 将来自于该网卡的所有流量都导向某个指定区域。

--change-interface=<网卡名称> 将某个网卡与区域做关联。

--list-all显示当前区域的网卡配置参数，资源，端口以及服务等信息。

--list-all-zones显示所有区域的网卡配置参数，资源，端口以及服务等信息。

--add-service=<服务名> 设置默认区域允许该服务的流量。

--add-port=<端口号/协议> 允许默认区域允许该端口的流量。

--remove-service=<服务名> 设置默认区域不再允许该服务的流量。

--remove-port=<端口号/协议> 允许默认区域不再允许该端口的流量。

--reload让“永久生效”的配置规则立即生效，覆盖当前的。

以上摘抄自，可以访问查看详情：http://www.linuxprobe.com/chapter-08.html#83_Firewalld

如果希望在服务器上提供服务，诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙，它们默认的防火墙规则十分严格。因此，如

果你安装了任何定制的服务（比如web服务器、NFS和Samba），那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许

流量通过。在CentOS/RHEL

6或更早的版本上，iptables服务允许用户与netfilter内核模块交互来在用户空间中配置防火墙规则。然而，从CentOS/RHEL

7开始，一个叫做firewalld新用户空间接口被引入以取代iptables服务。

使用这个命令察看当前的防火墙规则：

代码如下:

$ sudo iptables -L

现在，让我们看看如何在CentOS/RHEL上修改防火墙来开启一个端口。在CentOS/RHEL 7上开启端口

启动CentOS/RHEL 7后，防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。

使用这些命令来永久打开一个新端口（如TCP/80）。

代码如下:

$ sudo firewall-cmd --zone=public --add-port=80/tcp --permanent$ sudo firewall-cmd --reload

如果不使用“--permanent”标记，把么防火墙规则在重启后会失效。在CentOS/RHEL 6上开启端口

在CentOS/RHEL 6甚至更早版本系统上，iptables服务负责维护防火墙规则。

使用iptables的第一条命令可以通过防火墙开启一个新TCP/UDP端口。为了永久保存修改过的规则，还需要第二条命令。

代码如下:

$ sudo iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT$ sudo service iptables save

另一种方法是通过一个名为system-config-firewall-tui的命令行用户接口（TUI）的防火墙客户端。

代码如下:

$ sudo system-config-firewall-tui

选择位于中间的“Customize”按钮，按下ENTER键即可。

如果想要为任何已知的服务（如web服务器）修改防火墙，只需勾选该服务，然后关闭工具。如果想要开启任意一个TCP/UDP端口，选择“Forward”按钮，然后进入下一个界面。

选择“Add”按钮添加一条新规则。

步骤阅读

5

指定一个端口（如80）或者端口范围（如3000-3030）和协议（如tcp或udp）。

6

最后，保存修改过的配置，关闭工具。这样，防火墙就永久保存了。

---