Centos7配置防火墙

最新推荐文章于 2024-04-02 14:40:07 发布

CMLX1218

最新推荐文章于 2024-04-02 14:40:07 发布

阅读量121

点赞数

分类专栏：环境搭建文章标签： centos 运维 iptables

本文链接：https://blog.youkuaiyun.com/CMLXZL/article/details/115702895

版权

环境搭建专栏收录该内容

11 篇文章

订阅专栏

本文介绍了如何在CentOS7系统中配置防火墙，包括使用iptables进行内网ip白名单设置和firewall添加特定端口到白名单的步骤。详细操作包括停用、安装iptables-services，设置开机启动，以及使用firewall添加永久端口规则。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Centos7配置防火墙

- CentoOs配置防火墙(iptables)
- CentoOs配置防火墙(firewall)

CentoOs配置防火墙(iptables)

修改防火墙管理工具
a.停用防火墙：systemctl stop firewalld
b.注销防火墙：systemctl mask firewalld
c.安装iptables-services：yum install -y iptables-services
d.设置开机启动：systemctl enable iptables
e.常用命令：

systemctl stop iptables
systemctl start iptables
systemctl restart iptables
systemctl reload iptables

设置内网ip白名单
a.编辑 vim /etc/sysconfig/iptables
b.添加内容：

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 白名单
-A whitelist -s 10.0.1.16 -j ACCEPT
COMMIT

重启iptables：systemctl restart iptables.service

CentoOs配置防火墙(firewall)

查看以开放的端口：firewall-cmd --zone=public --list-ports
添加8081端口到白名单：firewall-cmd --permanent --zone=public --add-port=8081/tcp
a. --zone：作用域
b. --add-port=8081/tcp：添加端口，格式：端口/通讯协议
c. --permanent：永久有效，没有此参数重启后失效
重启防火墙：firewall-cmd --reload
其他命令：

firewall-cmd --state                          ##查看防火墙状态，是否是running
firewall-cmd --reload                          ##重新载入配置，比如添加规则之后，需要执行此命令
firewall-cmd --get-zones                      ##列出支持的zone
firewall-cmd --get-services                    ##列出支持的服务，在列表中的服务是放行的
firewall-cmd --query-service ftp              ##查看ftp服务是否支持，返回yes或者no
firewall-cmd --add-service=ftp                ##临时开放ftp服务
firewall-cmd --add-service=ftp --permanent    ##永久开放ftp服务
firewall-cmd --remove-service=ftp --permanent  ##永久移除ftp服务
firewall-cmd --add-port=80/tcp --permanent    ##永久添加80端口 
firewall-cmd --remove-port=80/tcp --permanent    ##永久添加80端口 
firewall-cmd --zone=public --list-ports       ##查看已开放的端口
iptables -L -n                                ##查看规则，这个命令是和iptables的相同的