centos 7 配置防火墙 添加端口可以访问

最新推荐文章于 2025-07-14 08:15:00 发布
转载 最新推荐文章于 2025-07-14 08:15:00 发布 · 1.5w 阅读 · 7

1、firewalld简介
firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念
firewalld有图形界面和工具界面,由于我在服务器上使用,图形界面请参照官方文档,本文以字符界面做介绍
firewalld的字符界面管理工具是  firewall-cmd 

firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)
zone概念:
硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域(根据文档自己理解,如果有误请指正):
drop:默认丢弃所有包
block:拒绝所有外部连接,允许内部发起的连接
public:指定外部连接可以进入
external:这个不太明白,功能上和上面相同,允许指定的外部连接
dmz:和硬件防火墙一样,受限制的公共连接可以进入
work:工作区,概念和workgoup一样,也是指定的外部连接允许
home:类似家庭组
internal:信任所有连接
对防火墙不算太熟悉,还没想明白public、external、dmz、work、home从功能上都需要自定义允许连接,具体使用上的区别还需高人指点
2、安装firewalld
root执行  # yum install firewalld firewall-config

3、运行、停止、禁用firewalld
启动: # systemctl start  firewalld
查看状态: # systemctl status firewalld 或者  firewall-cmd --state
停止: # systemctl disable firewalld
禁用: # systemctl stop firewalld
4、配置firewalld
查看版本: $ firewall-cmd --version
查看帮助: $ firewall-cmd --help
查看设置:
                显示状态: $ firewall-cmd --state
                查看区域信息:  $ firewall-cmd --get-active-zones
                查看指定接口所属区域: $ firewall-cmd --get-zone-of-interface=eth0
拒绝所有包: # firewall-cmd --panic-on
取消拒绝状态: # firewall-cmd --panic-off
查看是否拒绝: $ firewall-cmd --query-panic
更新防火墙规则: # firewall-cmd --reload
                             # firewall-cmd --complete-reload
    两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务
将接口添加到区域,默认接口都在public
# firewall-cmd --zone=public --add-interface=eth0
永久生效再加上  --permanent 然后reload防火墙
设置默认接口区域
# firewall-cmd --set-default-zone=public
立即生效无需重启
打开端口(貌似这个才最常用)
查看所有打开的端口:
# firewall-cmd --zone=dmz --list-ports
加入一个端口到区域:
# firewall-cmd --zone=dmz --add-port=8080/tcp
若要永久生效方法同上
打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
# firewall-cmd --zone=work --add-service=smtp
移除服务
# firewall-cmd --zone=work --remove-service=smtp
还有端口转发功能、自定义复杂规则功能、lockdown,由于还没用到,以后再学习
liu306487103
关注
Centos7.9_hadoop集群下配置防火墙_安全部署_防火墙配置_端口配置_协议配置_IP配置_全部亲测---记录022_大数据工作笔记0182
添柴程序猿的专栏
07-24 1699
这个时候如果你配置防火墙,如果扫描机的IP被屏蔽掉了,或者对应的端口被屏蔽掉了那么对我们来说,漏洞就扫描不到了,其实,除了系统本身的软防火墙,还有网闸,等待安全设备,可以保证内网的安全.在我们平时搭建大数据平台的时候,由于防火墙的限制,会让搭建集群的时候,报各种错误,但是,有些网络环境要求比较严格的地方,防火墙又要求必须要放,尤其是..5.直接放某个IP可以访问,本机所有端口,这样比较方便,因为有时候不知道有些源软件内部还用到了哪些端口,如果一个个端口就比较麻烦。这里说一下防火墙配置.
Firewalld防火墙基础与基本命令
XuMin6的博客
12-13 673
Firewalld防火墙基础与基本命令 一:Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4,IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置(一般测试的时候使用) 永久配置 二:iptablesi简介 ​ iptables是Linux的防火墙管理工具,真正实现防火墙功...
Linux CentOS stream 9 firewalld
qq_36142959的博客
02-19 2469
例如,设置一条规则,拒绝所有的ICMP数据包,设置好该规则之后,该规则就会保存到内核的netfilter模块,之后所有的ICMP数据包都会被拒绝。永久生效(Permanent)模式,可以使firewalld配置永久生效,但是,此模式需要重启系统,或者手动执行firewall-cmd --reload命令,配置的策略才会立即生效。拒绝流入的流量,除非与流出的流量相关。当数据包经过防火墙时,系统内核会将客户请求逐一与所设置的规则进行匹配,当匹配成功之后,由防火墙执行规则中定义的行为,如放行、阻止、丢弃等。
CentOS 7 firewalld使用简介
热门推荐
感知初心
09-28 5万+
学习apache安装的时候需要打80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不会用,索性直接搬官方文档,学习firewalld了,好像比iptables要简单点了。 官方文档地址:https://access.redhat.com/documentation/en-US/Red_Ha
centos-防火墙添加端口
最新发布
qqRZL的博客
07-14 372
摘要:本文详细介绍在CentOS系统中端口的方法,包括两种常用工具:firewalld(CentOS 7+推荐)和iptables(旧版本)。主要内容涵盖:1)firewalld的端口管理(状态检查、放/关闭端口、规则验证);2)iptables的规则配置与保存;3)关键注意事项(协议选择、云平台安全组、连通性测试);4)常见问题解决方案。文章提供具体命令示例,强调永久规则设置和安全性检查,适用于不同CentOS版本的系统管理员参考。(149字)
Firewalld概述
m0_55614372的博客
07-14 981
一、Firewalld概述 1.firewalld防火墙Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 2.firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 二、firewalld与iptables 的区别 1.ipta...
RHCE(firewalld介绍)
金色%夕阳的博客
12-09 1191
一、使用和配置 FIREWALLD 防火墙是保护机器不受来自外部的、不需要的网络数据的一种方式。它允许用户通过定义一组防火墙规则来控制主机上的入站网络流量。这些规则用于对进入的流量进行排序,并可以阻断或允许流量。 firewalld 是一个防火墙服务守护进程,它为使用 D-Bus 接口提供动态可定制主机防火墙防火墙服务守护进程。如果是动态的,它可在每次修改规则时启用、修改和删除规则,而不需要在每次修改规则时重启防火墙守护进程。 firewalld 使用区(zone)和服务(service)的概念来简化流量
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/...
CentOS6.5 配置防火墙+允许指定ip访问端口+指定网段
weixin_49622708的博客
02-23 5586
CentOS6.5 配置防火墙+允许指定ip访问端口 参考博文: iptables防火墙只允许指定ip连接指定端口访问指定网站 一、配置防火墙配置文件 [root@localhost ~]# vi /etc/sysconfig/iptables 正确的配置文件 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *fi
Centos 7 防火墙端口
qq_35731100的博客
08-29 718
firewall 防火墙
Centos 7_防火墙策略配置
BaoBaoYuan
04-28 2412
Centos 7防火墙策略配置指南 —— 清听凌雪慕忆 文章目录1. 防火墙1.1 user切换到root用户1.2 查看防火墙服务状态1.3 查看firewall的状态1.4 启动/关闭防火墙2. 防火墙端口配置2.1 查看已端口2.2 查看防火墙规则2.3 查看允许协议2.4 启、关闭、查询端口3. 防火墙ip指向限制配置3.1 允许指定ip访问所有流量3.2 允许指定ip访问指定端口3.3 允许指定ip访问指定协议3.4 允许指定ip访问指定服务3.5 防火墙移除某个服务3.6 其他4. 获
centos7防火墙启中,进行外网访问
qq_43737121的博客
03-07 2115
1.查看防火墙是否启 systemctl status firewalld 若没有启则启 systemctl start firewalld 2.查看所有启的端口 firewall-cmd --list-ports 3.防火墙端口访问 firewall-cmd --zone=public --add-port=80/tcp --permanent 命令含义: ...
Linux | firewall命令 对外端口、查看端口防火墙启、防火墙关闭
toyearn的博客
12-05 2422
Linux | ubantu | firewall 对外端口端口查询、防火墙启、防火墙关闭、查看防火墙状态
linux防火墙如何端口扫描,centos防火墙,但为什么外界还能扫描出机器上一些端口的情况?...
weixin_28907839的博客
05-02 938
以下是Centos5.3下用#serviceiptablesstatus所返回的信息。我只了http,ssh,ssl的端口其他都没,不知道是不是我理解有误,为什么用扫描软件还能扫描到我了那些端口。望高手指点一下我这菜鸟。表格:filterChainINPUT(policyACCEPT)numtargetprotoptsourced...
CentOS 7通过Firewall防火墙端口
Eighty_Nine的博客
09-13 2141
发现在CentOS 7端口用iptables没效果(或者是sodino没找到正确的命令,传说Centos7 下默认的防火墙是 Firewall,替代了之前的 iptables)… 使用firewall-cmd端口则立即就生效了。 见下操作: firewall-cmd –state //查看运行状态 // 放1024的端口 firewall-cmd –add-port=1024/
firewall-cmd 端口
Miss_Mario的专栏
03-21 1733
firewall-cmd 端口
记录一下centos防火墙配置指定服务器访问指定端口
学习笔记
07-22 853
先查看防火墙是否启,没有启的话使用命令启使用或者可以查看当前配置的规则添加规则因为最近爆出elasticsearch被黑客攻击的事件,所以我执行了下面的语句对es端口只提供给固定ip可用,脚本如下。...
使用firewall-cmd查询端口放状态
Leon_Jinhai_Sun的博客
12-05 624
使用firewall-cmd查询端口放状态
centos配置防火墙端口放给
04-10
<think>好的,我现在需要帮助用户在CentOS系统中配置防火墙规则,限制特定端口仅允许某些IP或IP范围访问。用户提到使用firewall-cmd工具,所以我应该基于firewalld服务来指导操作。 首先,我需要回忆一下firewalld的基本操作。记得要确保防火墙服务已经启动并启用机自启,因为如果防火墙未运行,配置命令可能无法生效。根据用户提供的引用内容,启动服务的命令是systemctl start firewalld和systemctl enable firewalld。这点很重要,必须先确认服务状态。 接下来,用户需要限制特定端口,比如假设是端口8080,仅允许IP 192.168.1.100和192.168.1.0/24网段访问。根据firewalld的配置方法,应该使用富规则(rich rules)来添加更复杂的规则。需要确认的是,默认情况下firewalld的区域设置可能不允许这些端口,所以需要先移除默认的端口放,再添加基于源IP的限制。 步骤可能包括:首先移除已有的端口放,比如如果之前已经允许了所有IP访问端口,需要执行firewall-cmd --remove-port=8080/tcp。然后添加富规则,允许指定IP和网段访问端口。命令格式应该是firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8080" accept',同理添加网段的部分。 之后需要重新加载防火墙配置,使更改生效,使用firewall-cmd --reload。然后验证规则是否正确应用,可以用firewall-cmd --list-all查看当前区域的规则,确认富规则是否存在。 需要注意的是,用户可能同时使用TCP和UDP,所以如果是UDP端口,也需要在命令中指定protocol="udp"。此外,如果用户不确定默认区域,应该先使用firewall-cmd --get-default-zone获取当前默认区域,并在命令中指定,或者确认所有操作都是针对默认区域进行的。 另外,用户提供的引用中有示例脚本,里面同时添加了TCP和UDP端口。可能需要提醒用户根据实际需求选择协议类型。同时,要确保添加--permanent参数使规则永久生效,否则重启后规则会丢失。 可能的错误点包括:忘记重新加载防火墙配置,导致规则未生效;IP地址或网段写错;协议类型不正确等。需要指导用户仔细检查这些部分。 最后,生成相关问题时要考虑用户可能的后续疑问,比如如何删除规则、如何允许多个IP、如何设置时间限制等,以及测试连接的方法和常见问题排查。</think>在CentOS系统中使用`firewall-cmd`配置仅允许特定IP访问指定端口的步骤如下: --- ### 1. **启动防火墙并设置机自启** ```bash systemctl enable firewalld systemctl start firewalld ``` 确保防火墙处于运行状态[^1]。 --- ### 2. **移除默认端口放(如有必要)** 若端口已对所有IP放,需先删除原有规则(以端口`8080/tcp`为例): ```bash firewall-cmd --remove-port=8080/tcp --permanent firewall-cmd --reload ``` --- ### 3. **添加IP白名单规则** 使用`rich rules`实现精细控制,语法为: ```bash # 允许单个IP(例如192.168.1.100) firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8080" accept' # 允许IP段(例如192.168.1.0/24) firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080" accept' ``` --- ### 4. **重新加载配置** ```bash firewall-cmd --reload ``` --- ### 5. **验证规则** ```bash firewall-cmd --list-all ``` 输出应包含类似: ``` rich rules: rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept rule family="ipv4" source address="192.168.1.0/24" port port="8080" protocol="tcp" accept ``` --- ### 6. **其他注意事项** - **协议选择**:若需同时允许TCP/UDP,在`protocol`参数中分别指定。 - **多端口配置**:若需批量配置端口,可编写脚本自动化(参考[^2])。 - **生产环境测试**:建议在非生产环境验证规则,避免误锁。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值