centos 7 配置防火墙 添加端口可以访问

1、firewalld简介
firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念
firewalld有图形界面和工具界面,由于我在服务器上使用,图形界面请参照官方文档,本文以字符界面做介绍
firewalld的字符界面管理工具是  firewall-cmd 

firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)
zone概念:
硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域(根据文档自己理解,如果有误请指正):
drop:默认丢弃所有包
block:拒绝所有外部连接,允许内部发起的连接
public:指定外部连接可以进入
external:这个不太明白,功能上和上面相同,允许指定的外部连接
dmz:和硬件防火墙一样,受限制的公共连接可以进入
work:工作区,概念和workgoup一样,也是指定的外部连接允许
home:类似家庭组
internal:信任所有连接
对防火墙不算太熟悉,还没想明白public、external、dmz、work、home从功能上都需要自定义允许连接,具体使用上的区别还需高人指点
2、安装firewalld
root执行  # yum install firewalld firewall-config

3、运行、停止、禁用firewalld
启动: # systemctl start  firewalld
查看状态: # systemctl status firewalld 或者  firewall-cmd --state
停止: # systemctl disable firewalld
禁用: # systemctl stop firewalld
4、配置firewalld
查看版本: $ firewall-cmd --version
查看帮助: $ firewall-cmd --help
查看设置:
                显示状态: $ firewall-cmd --state
                查看区域信息:  $ firewall-cmd --get-active-zones
                查看指定接口所属区域: $ firewall-cmd --get-zone-of-interface=eth0
拒绝所有包: # firewall-cmd --panic-on
取消拒绝状态: # firewall-cmd --panic-off
查看是否拒绝: $ firewall-cmd --query-panic
更新防火墙规则: # firewall-cmd --reload
                             # firewall-cmd --complete-reload
    两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务
将接口添加到区域,默认接口都在public
# firewall-cmd --zone=public --add-interface=eth0
永久生效再加上  --permanent 然后reload防火墙
设置默认接口区域
# firewall-cmd --set-default-zone=public
立即生效无需重启
打开端口(貌似这个才最常用)
查看所有打开的端口:
# firewall-cmd --zone=dmz --list-ports
加入一个端口到区域:
# firewall-cmd --zone=dmz --add-port=8080/tcp
若要永久生效方法同上
打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
# firewall-cmd --zone=work --add-service=smtp
移除服务
# firewall-cmd --zone=work --remove-service=smtp
还有端口转发功能、自定义复杂规则功能、lockdown,由于还没用到,以后再学习
<think>好的,我现在需要帮助用户在CentOS系统中配置防火墙规则,限制特定端口仅允许某些IP或IP范围访问。用户提到使用firewall-cmd工具,所以我应该基于firewalld服务来指导操作。 首先,我需要回忆一下firewalld的基本操作。记得要确保防火墙服务已经启动并启用机自启,因为如果防火墙未运行,配置命令可能无法生效。根据用户提供的引用内容,启动服务的命令是systemctl start firewalld和systemctl enable firewalld。这点很重要,必须先确认服务状态。 接下来,用户需要限制特定端口,比如假设是端口8080,仅允许IP 192.168.1.100和192.168.1.0/24网段访问。根据firewalld的配置方法,应该使用富规则(rich rules)来添加更复杂的规则。需要确认的是,默认情况下firewalld的区域设置可能不允许这些端口,所以需要先移除默认的端口放,再添加基于源IP的限制。 步骤可能包括:首先移除已有的端口放,比如如果之前已经允许了所有IP访问端口,需要执行firewall-cmd --remove-port=8080/tcp。然后添加富规则,允许指定IP和网段访问端口。命令格式应该是firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8080" accept',同理添加网段的部分。 之后需要重新加载防火墙配置,使更改生效,使用firewall-cmd --reload。然后验证规则是否正确应用,可以用firewall-cmd --list-all查看当前区域的规则,确认富规则是否存在。 需要注意的是,用户可能同时使用TCP和UDP,所以如果是UDP端口,也需要在命令中指定protocol="udp"。此外,如果用户不确定默认区域,应该先使用firewall-cmd --get-default-zone获取当前默认区域,并在命令中指定,或者确认所有操作都是针对默认区域进行的。 另外,用户提供的引用中有示例脚本,里面同时添加了TCP和UDP端口。可能需要提醒用户根据实际需求选择协议类型。同时,要确保添加--permanent参数使规则永久生效,否则重启后规则会丢失。 可能的错误点包括:忘记重新加载防火墙配置,导致规则未生效;IP地址或网段写错;协议类型不正确等。需要指导用户仔细检查这些部分。 最后,生成相关问题时要考虑用户可能的后续疑问,比如如何删除规则、如何允许多个IP、如何设置时间限制等,以及测试连接的方法和常见问题排查。</think>在CentOS系统中使用`firewall-cmd`配置仅允许特定IP访问指定端口的步骤如下: --- ### 1. **启动防火墙并设置机自启** ```bash systemctl enable firewalld systemctl start firewalld ``` 确保防火墙处于运行状态[^1]。 --- ### 2. **移除默认端口放(如有必要)** 若端口已对所有IP放,需先删除原有规则(以端口`8080/tcp`为例): ```bash firewall-cmd --remove-port=8080/tcp --permanent firewall-cmd --reload ``` --- ### 3. **添加IP白名单规则** 使用`rich rules`实现精细控制,语法为: ```bash # 允许单个IP(例如192.168.1.100) firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8080" accept' # 允许IP段(例如192.168.1.0/24) firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080" accept' ``` --- ### 4. **重新加载配置** ```bash firewall-cmd --reload ``` --- ### 5. **验证规则** ```bash firewall-cmd --list-all ``` 输出应包含类似: ``` rich rules: rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept rule family="ipv4" source address="192.168.1.0/24" port port="8080" protocol="tcp" accept ``` --- ### 6. **其他注意事项** - **协议选择**:若需同时允许TCP/UDP,在`protocol`参数中分别指定。 - **多端口配置**:若需批量配置端口,可编写脚本自动化(参考[^2])。 - **生产环境测试**:建议在非生产环境验证规则,避免误锁。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值