浅谈简单使用CentOS7防火墙及开放端口
作者:warnerwu 发布时间:2023-11-03 04:57:32
概述(官方有更为详细的说明哦)
Firewalld提供动态管理的防火墙,支持网络/防火墙区域,用于定义网络连接或接口的信任级别。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了直接添加防火墙规则的接口。
既然是简单使用, 那必须教会你怎么查看防火墙状态, 以及防火墙的关闭和开启之类的, 我们都知道那既然防火墙都开启了, 那么它必定是有一些端口的限制, 不能说你想通过哪些端口就通过哪些端口, 就能访问到我们的主机(也就是服务器了), 换句说话, 我开放了哪些端口, 你才可以通过我开放的这些端口对我的主机进行访问, 要不然我们还要防火墙干嘛, 谁想进来就进来(还是通过任意端口), 防火墙不就成了摆设不成, 说到防火墙要还要多说一句, 防火墙有软件层面的和物理设置层面的(网络内的一台专业物理设备), 那我们这里是所说的是软件层面的防火墙也就是Firewalld, CentOS7以下版本普遍使用的软件防火墙是Firewalld, 为什么说是CentOS7以下版本普遍使用的呢? 这是因为之前的CentOS版本都是使用的iptables防火墙, 那要往深处说, 这就要追溯到CentOS7的发展历程及RedHad之间的关系啦, 扯远了哈, 我们使用防火墙的主要目的是对我们的主机进行安全管理, 其中主要的一部分就是端口管理了!
查询防火墙状态
shell
# systemctl status firewalld
execute
[warnerwu@localhost ~]$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
启动防火墙
注意:防火墙只有管理员或管理员用户组有权限进行管理操作, 普通用户则不可以
shell
# systemctl start firewalld
execute
[root@localhost~]# systemctl start firewalld
[root@localhost~]#
你会发现什么也没有, 玩 linux 或 osx 系统的小伙伴都知道, 没有提示那就是最好的提示, 说明已经成功啦, 有提示时则一会有问题哦
再次查看防火墙状态
shell
# systemctl status firewalld
execute
[root@localhost ~]# sudo systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: active (running) since 五 2018-09-07 00:04:55 CST; 5min ago
Docs: man:firewalld(1)
Main PID: 11339 (firewalld)
CGroup: /system.slice/firewalld.service
└─11339 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z systemd[1]: Starting firewalld - dynamic firewall daemon...
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z systemd[1]: Started firewalld - dynamic firewall daemon.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: ICMP type 'beyond-scope' is not supported by the kernel for ipv6.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: beyond-scope: INVALID_ICMPTYPE: No supported ICMP type., ignorin...-time.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: ICMP type 'failed-policy' is not supported by the kernel for ipv6.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: failed-policy: INVALID_ICMPTYPE: No supported ICMP type., ignori...-time.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: ICMP type 'reject-route' is not supported by the kernel for ipv6.
9月 07 00:04:55 izj6c3bcx7adgva5dda2e0z firewalld[11339]: WARNING: reject-route: INVALID_ICMPTYPE: No supported ICMP type., ignorin...-time.
Hint: Some lines were ellipsized, use -l to show in full.
嗯嗯, 你会发现在已经在运行啦, 就是这样子哦, 还要多说一句, 那如果你对 CentOS7 或 RedHat7 足够了解的话, 你会很熟悉 systemctl是个什么东东, 她呀, 就是系统服务管理工具, 是系统工具, 用来管理系统服务的, 就这么理解就可以不会错的! 之前的CentOS版本都是使用的 service 进行系统服务管理的哦, 关于更多 systemctl 或 service 的信息请动手 百度 或 Google, 我们简单的说完了, 查看防火墙状态以及怎么启动防火墙, 那我们的就来说说怎么来开放端口!
查看防火墙开放端口列表
防火墙的端口管理是通过 firewall-cmd 命令来进行管理的哦, 这一点必须要明确, 也是你管理系统端口的关键所在, 嗯嗯, 是她, 是她, 就是她, 她就是这么的如此风骚, 哈哈, 你拿她一点办法都没有, 不你可以把她玩的服服贴贴的, 什么呀!你想多了, 我什么也没有说哦, 是你自己这样想的~
shell
# firewall-cmd --list-all
execute
[root@localhost ~]# firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
你会发现它如此空旷, 没有任何开放端口, 嗯, 这是一台新装linux系统, 你的也许会跟我这个一样, 也许会不一样, 这个要注意一下
添加开放端口到防火墙
比如我们让80端口开放, 其它用户可以访问我的站点
shell
// Step1: 加入开放端口到配置文件
# firewall-cmd --zone=public --add-port=80/tcp --permanent
--zone=public 添加时区
--add-port=80/tcp 添加端口
--permanent 永久生效
// 加载防火墙新配置文件( 以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息. )
firewall-cmd --reload
再次查看防火墙开放端口列表
shell
# firewall-cmd --list-all
execute
[root@localhost ~]# firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
这次你会发现 ports 对应的多了一个 80/tcp, 那说明就已经添加到了防火墙开放列表中了
1、firewalld的基本使用
启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld
开机禁用 : systemctl disable firewalld
开机启用 : systemctl enable firewalld
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service
重启一个服务:systemctl restart firewalld.service
显示一个服务的状态:systemctl status firewalld.service
在开机时启用一个服务:systemctl enable firewalld.service
在开机时禁用一个服务:systemctl disable firewalld.service
查看服务是否开机启动:systemctl is-enabled firewalld.service
查看已启动的服务列表:systemctl list-unit-files|grep enabled
查看启动失败的服务列表:systemctl --failed
3.配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
来源:https://segmentfault.com/a/1190000016302581
猜你喜欢
- 对于我们经常使用的windows2000/xp,其中有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此向大家做一个介绍。
- 在中国古代有这么一则小故事,说的是一位青年胸怀大志,但不拘小节,蜗居斗室。友人来访,看到这个场景说,你这的卫生为什么搞的这么烂啊?青年回答:
- 很多朋友在留言中询问关于主题使用中的问题,而我也多次在留言里做了回答,无奈留言太多而且不集中,所以前来询问的朋友一般都不愿意从留言评论中去寻
- 写点这些日子的心得吧。。。既然是一个团队,团队每个成员的想法也是非常重要的。凌晨了,睡不着,想了很多有关工作和生活的事儿。我记得以前有朋友问
- 对于个人站长当我来说一切都想着免费的,想通过花最少的钱来赚到最大的利润,所以我架设的wordpress博客是在一家美国的老牌免费服务器上,这
- 位于HostingControlCenter的FileManager,是你管理文你的网站目录档及目录的工具。具体来说,使用此工具你可以拷贝、
- 建站三部曲(1)丰富内容:建站伊始,针对乐儿网缺少内容的情况,通过派发实物礼品的形式来鼓励会员发布大量原创性内容,网站区内的日志数量和帖子数
- 国内浏览器研发商傲游日前宣布,将与全球最大的俄文搜索引擎Yandex建立战略合作关系,傲游将在未来的俄文官方版本中采用Yandex的主页做为
- 现在网络上的图片处理软件可谓层出不穷,各有其优势,不过小编比较推崇的是“美图秀秀”这款软件,因为它操作简便而且功能颇多,适合各年龄层用户使用
- Windows操作系统的IIS是大家最常用的Web服务器之一。IIS功能强大、简单易用,但也容易受到恶意攻击,它的安全性一直是大家谈论的焦点
- 12日晚上上线,看到红色联盟某会员在找我(为了安全起见,该会员我们下面称呼其为“站长X”)。说其网站被r了,让我去帮忙查查并恢复。我访问了一
- 北京时间10月23日,微软新一代操作系统WIN7正式发布,国内领先的网游厂商巨人网络率先宣布,其新作《绿色征途》全面兼容WIN7操作系统。今
- 对Mesos和Marathon的安装官方文档有较详细的安装说明,但是英文的。我参照官方安装文档(https://open.mesospher
- 一、误导性或重复性关键词1、误导性关键词在页面中使用与该网页毫不相干的误导性关键词来吸引查询该主题的访问者访问网站。这种做法严重影响了搜索引
- 当我访问网络中的一台服务器时,我收到了如下信息:“没有任何网络提供商接受特定的网络通路。我要做的一切就是通过一个IP地址,如192.168.
- linux系统一切皆文件:1 linux文件系统将一切的设备映射为文件,一切以文件作为访问入口的,以文件的性质来进行open read wr
- 部署Exchange Server 2007的前提条件Microsoft .NET Framework 2.0http://www.micr
- 百度联盟的主题推广由于后台的功能不是很强大,所以提供给用户的优化和比较的方式不是很灵活,大部分发布者很少考虑百度主题推广的广告优化。实际上对
- 一、实验环境 编号项目软件及版本1操作系统CentOS62环境软件VMware 123jdk环境jdk1.8.0_1814HadoopHad
- 最近在河南电视台参加一档创意节目时,笔者有幸碰到了国内的营销大师——叶茂中先生,他在指导选手时的一番话让笔者回味至今,“少就是牺牲,少就是价