网站首页 返回列表
像“草根”一样，紧贴着地面，低调的存在，冬去春来，枯荣无恙。

CentOS7防火墙firewall基础必学

23-10-8 15:00:00 字节波 316

### Firewall是什么
常说的防火墙，一般指的是网络层防火墙，网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
主流操作系统以及许多网络设备都已内置防火墙功能，如常用的：Windows防火墙、CentOS6的`iptables`、CentOS7的`firewall`等，作为运维的必备知识点，一定要掌握各种常用防火墙的操作。

### CentOS7的firewall
- 开启防火墙
```shell
systemctl start firewalld
```

- 查看当前状态
```shell
systemctl status firewalld
```

- 查看活动区域
```shell
firewall-cmd --get-active-zones
```

- 查看所有支持的服务
```shell
firewall-cmd --get-service --permanent
```

- 开启、关闭应急模式（阻断、恢复所有网络连接）
```shell
firewall-cmd --panic-on
firewall-cmd --panic-off
```

- 重新加载防火墙
```shell
firewall-cmd --reload
```

- 开启某个端口（这里有点别扭，无法指定黑白名单）
```shell
firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
```

- 开启某个服务
```shell
firewall-cmd --permanent --zone=public --add-service=https
```

- 查看已开启的服务
```shell
firewall-cmd --permanent --zone=public --list-services
```

- 查看已开启的端口
```shell
firewall-cmd --permanent --zone=public --list-ports
```

- 到这里需要说一下了，系统默认开启的是public区域，permanent参数表示永久添加规则，不带该参数仅临时添加规则，重启后会恢复，另外所有add或remove之后必须reload重载才会生效。

- 最后有一个重要的点就是针对IP段来限制端口的访问，刚提高过，开启端口时并没有黑白名单的功能，不过这里还是有富规则来单独处理的，其实用起来还是有点别扭的，本可以在一条规则中提现的，不明白为什么非要单独出来配置，尽管如此，弄清楚就行了，假如需要针对22端口，仅允许192.168.8.88这个IP访问该端口，该如下设置：
```shell
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.8.88" port protocol="tcp" port="22" accept"
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --permanent --remove-port=22/tcp
firewall-cmd --reload
```
这里关闭ssh服务与关闭22端口，是将该端口可能对外直接开放的地方都关掉，仅添加一条白名单的富规则来限制22端口的访问，这样才能达到目的，否则如ssh服务或22端口是开启状态，添加的白名单富规则没有任何实质效果，还是会继续对外开放该端口，这就是我说比较别扭的地方，感觉真的没有windows防火墙舒服，不过对于CentOS而言，防火墙的改变确实要比6时代的iptables更清晰明了一些。
**另外发现一个小Bug，在CentOS7图形桌面手动操作防火墙时，无法手动添加富规则，用命令行才可以加上去，没找到原因，试了很多遍还是放弃了，所以记录一下，也许是我没弄对。。**

- 查看已添加的富规则
```shell
firewall-cmd --permanent --list-rich-rules
```

关键字词[CentOS, firewall]

分享到：

上一篇：MySQL之学习经验

下一篇：CentOS7安装nginx服务

如需留言，请登录，没有账号？请注册

0 条评论 0 人参与