CentOS 7中firewall防火墙详解和配置以及切换为iptables防火墙

最新推荐文章于 2025-04-19 20:59:21 发布
最新推荐文章于 2025-04-19 20:59:21 发布
阅读量10w+ 收藏 117
点赞数 23
分类专栏: Linux 文章标签: centos 防火墙 iptables firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlgen157387/article/details/52672988
版权

官方文档介绍地址:

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1

一、firewall介绍

CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了。

1、官方介绍

The dynamic firewall daemon firewalld provides a dynamically managed firewall with support for network “zones” to assign a level of trust to a network and its associated connections and interfaces. It has support for IPv4 and IPv6 firewall settings. It supports Ethernet bridges and has a separation of runtime and permanent configuration options. It also has an interface for services or applications to add firewall rules directly.

2、什么是区域Zone:

网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。

3、哪个区域可用?

由firewalld 提供的区域按照从不信任到信任的顺序排序。

4、区域的分类?

Firewalls can be used to separate networks into different zones based on the level of trust the user has decided to place on the devices and traffic within that network. NetworkManager informs firewalld to which zone an interface belongs. An interface’s assigned zone can be changed by NetworkManager or via the firewall-config tool which can open the relevant NetworkManager window for you.

The zone settings in /etc/firewalld/ are a range of preset settings which can be quickly applied to a network interface. They are listed here with a brief explanation:

drop
Any incoming network packets are dropped, there is no reply. Only outgoing network connections are possible.

block
Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated from within the system are possible.

public
For use in public areas. You do not trust the other computers on the network to not harm your computer. Only selected incoming connections are accepted.

external
For use on external networks with masquerading enabled especially for routers. You do not trust the other computers on the network to not harm your computer. Only selected incoming connections are accepted.

dmz
For computers in your demilitarized zone that are publicly-accessible with limited access to your internal network. Only selected incoming connections are accepted.

work
For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

home
For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

internal
For use on internal networks. You mostly trust the other computers on the networks to not harm your computer. Only selected incoming connections are accepted.

trusted
All network connections are accepted.
It is possible to designate one of these zones to be the default zone. When interface connections are added to NetworkManager, they are assigned to the default zone. On installation, the default zone in firewalld is set to be the public zone.

注:具体内容,请参见官方文档介绍!

二、firewall配置

The configuration for firewalld is stored in various XML files in /usr/lib/firewalld/ and /etc/firewalld/.

This allows a great deal of flexibility as the files can be edited, written to, backed up, used as templates for other installations and so on.

注意:以下firewalld 的操作只有重启之后才有效:service firewalld restart 重启

1、系统配置目录

/usr/lib/firewalld/services

目录中存放定义好的网络服务和端口参数,系统参数,不能修改。

这里写图片描述

2、用户配置目录

/etc/firewalld/

这里写图片描述

3、如何自定义添加端口

用户可以通过修改配置文件的方式添加端口,也可以通过命令的方式添加端口,注意,修改的内容会在/etc/firewalld/ 目录下的配置文件中还体现。

  • 3.1、命令的方式添加端口
firewall-cmd --permanent --add-port=9527/tcp

参数介绍:

1、firewall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;

另外,firewall中有Zone的概念,可以将具体的端口制定到具体的zone配置文件中。

例如:添加8010端口

firewall-cmd --zone=public --permanent --add-port=8010/tcp
--zone=public:指定的zone为public

添加结果如下:

这里写图片描述

如果–zone=dmz 这样设置的话,会在dmz.xml文件中新增一条。

  • 3.2、修改配置文件的方式添加端口
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas.</description>
  <rule family="ipv4">
    <source address="122.10.70.234"/>
    <port protocol="udp" port="514"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="123.60.255.14"/>
    <port protocol="tcp" port="10050-10051"/>
    <accept/>
  </rule>
 <rule family="ipv4">
    <source address="192.249.87.114"/> 放通指定ip,指定端口、协议
    <port protocol="tcp" port="80"/>
    <accept/>
  </rule>
<rule family="ipv4"> 放通任意ip访问服务器的9527端口
    <port protocol="tcp" port="9527"/>
    <accept/>
  </rule>
</zone>

上述的一个配置文件可以很好的看出:

1、添加需要的规则,开放通源ip为122.10.70.234,端口514,协议tcp;
2、开放通源ip为123.60.255.14,端口10050-10051,协议tcp;/3、开放通源ip为任意,端口9527,协议tcp;

三、firewall常用命令

1、重启、关闭、开启firewalld.service服务

service firewalld restart 重启
service firewalld start 开启
service firewalld stop 关闭

2、查看firewall服务状态

systemctl status firewall

3、查看firewall的状态

firewall-cmd --state

这里写图片描述

4、查看防火墙规则

firewall-cmd --list-all

这里写图片描述

四、CentOS切换为iptables防火墙

切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。

1、关闭firewall:

service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动

2、安装iptables防火墙

yum install iptables-services #安装

3、编辑iptables防火墙配置

vi /etc/sysconfig/iptables #编辑防火墙配置文件

下边是一个完整的配置文件:

Firewall configuration written by system-config-firewall

Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动

个人微信公众号,欢迎扫码订阅:

这里写图片描述

[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 163
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作实际配置示例。
一文带你体验CentOS7防火墙firewall
互联网老辛
05-30 3063
文章目录防火墙分类:防火墙的作用firewalld 实战firewalld 介绍firewalld 四个常用区域防火墙的匹配原则:案例一: 查看默认zone常用命令参数案例二: 修改默认zone案例三: 在public区域添加协议案例四: 把http协议永久加入到public 区域案例五: 拒绝某一个IP 访问总结 防火墙分类: 硬件防火墙 软件防火墙 比如360,金山毒霸,这些就是一种软件防火墙 防火墙的作用 防火墙主要是做隔离,严格过滤入站,允许出站 软件防火墙:做本机的防护 firewalld 实战
Linux修改防火墙
m0_71655247的博客
06-17 2219
Linux修改防火墙 linux环境-CentOS 7.6 64位
CentOS 7firewall防火墙配置
建伟博客
07-06 4335
CentOS 7firewall防火墙详解配置以及切换iptables防火墙
firewalld 防火墙
最新发布
2501_91344566的博客
04-19 1083
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织管理防火墙firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。可用的区域可用的服务以及可用的 ICMP 阻塞类型。
centos7防火墙策略配置
yrsg666的博客
07-10 810
centos7防火墙
CentOS7防火墙策略配置--重要笔记
CoreCmd的博客
12-26 1623
在部署项目时,总会遇到防火墙策略的配置;网络上好多文章的推荐做法是直接关闭防火墙。这种操作是不合规的,不能图省事儿;最好的做法是,需要开放什么端口,就单独配置策略,不能直接关闭防火墙,赤裸裸的暴露给外部;下面是常用命令: 查看已开放的临时端口 firewall-cmd --list-ports 查看永久开放的端口 firewall-cmd --list-ports --permanent 添加临时...
CentOS7Firewall防火墙配置用法详解(推荐)
01-20
centos 7防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口...
Linux学习总结(37)——CentOS7Firewall防火墙配置用法详解
科技D人生
07-23 1809
centos 7防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置永久配置选项。它也支持允许服务或者应用程序直接添加防
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要...
centos7 修改地址,防火墙策略
weixin_33973609的博客
07-11 1174
1、centos7的网卡重启方法:service network restartcentos7的网卡重启方法:systemctl restart network 2、DNS配置文件:cat /etc/resolv.conf设置主机IP绑定信息:cat /etc/hosts设置主机名:cat /etc/hostname 3、可以使用nmtui文本框方式修改IP 4、关闭防火墙并设置开机不启动...
linux 修改防火墙
恨_别离的博客
05-18 890
本人使用的一般是centos 下面是centos6版本的操作 1:修改防火墙 [root@localhost nexus]# vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:
linux下改防火墙
梦中注定的博客
07-12 326
1、查看防火墙状态 systemctl status firewalld 2、如果不是显示active状态,需要打开防火墙 systemctl start firewalld 3、# 查看所有已开放的临时端口(默认为空) # firewall-cmd --list-ports # 查看所有永久开放的端口(默认为空) # firewall-cmd --list-ports --permanent # 添加临时开放端口(例如:比如我修改ssh远程连接端口是223,则需要开放这个端口) # firewall-c
Linux 修改防火墙 (转)
darling331的博客
12-09 344
参看这篇博主的博客https://blog.csdn.net/fin86889003/article/details/79082743
linux 修改防火墙配置
Hunter
07-11 524
防火墙配置文件路径: /etc/sysconfig/iptables 开放端口需要在此配置文件增加一条规则-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT3306 是要开放的端口号,然后重新启动linux的防火墙服务。
Linux系统修改防火墙设置
欢迎来到王大神的博客
06-05 463
切换为root 用户 启动防火墙也需要root用户权限,如果当前用户不是root用户,需要切换当前用户为root用户。 su root 查看防火墙状态 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭防火墙 关闭防火墙服务 systemctl top firewalld 永久关闭防火墙服务 systemctl disable firewalld.service ...
Linux系统修改防火墙配置
weixin_30312563的博客
04-13 103
防火墙配置文件位置 /etc/sysconfig/iptables 需要开放端口,请在里面添加一条内容即可: 1 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT 1521是要开放的端口号,然后重亲启动linux防火墙服务。 linux下停止/启动防火墙服务的命令(...
Linux防火墙设置
fmhui879的专栏
02-25 6016
<br />1、当Linux打开防火墙后,你会发现,从本机登录23端口是没有问题的,但是如果从另一台pc登录该linux系统后<br />,你会发现提示这样的错误: 不能打开到主机的连接, 在端口 23: 连接失败 。<br />2、因为linux防火墙默认是关闭23端口的,如果允许远程登录,可以关掉防火墙,也可以开防火墙开放23端口,具<br />体如下: <br />A、即时生效,重启后失效 <br />开启: service iptables start <br />关闭: service iptab
rk3566 插入hdmi本机闪
12-27
### RK3566 HDMI 插入问题及解决方案 #### 1. HDMI 输入分辨率对齐要求 对于RK平台上的HDMI输入功能,特别是针对RK3566设备,在处理视频流时确实存在特定的分辨率对齐需求。具体来说,宽度方向上需要满足8位对齐的要求[^1]。 #### 2. HDMI IN 热插拔检测机制 当涉及到HDMI接口的热插拔操作时,RK3566同样遵循类似的逻辑来确保系统的稳定性应用程序的正常运行。如果在启动过程中未能正确识别到HDMI信号源,则可能导致依赖此输入的应用程序无法正常工作甚至崩溃。因此,实现可靠的HDMI IN热插拔事件监听至关重要[^2]。 为了有效应对上述情况并提供更佳用户体验: - **增强初始化流程中的错误处理能力**:优化应用层面对硬件状态变化做出响应的方式,比如延迟加载或重试打开摄像头资源直至确认接收到有效的HDMI输入为止。 - **注册广播接收器捕获连接变动通知**:通过监听`Intent.ACTION_HDMI_PLUGGED`意图动作可以及时得知外部显示器接入/断开的状态改变,并据此调整UI布局或其他关联组件的行为表现。 ```java // 注册广播接收器用于监控HDMI连接状态的变化 registerReceiver(new BroadcastReceiver() { @Override public void onReceive(Context context, Intent intent) { boolean isConnected = intent.getBooleanExtra("state", false); if (isConnected){ // 执行必要的初始化任务,如重新尝试开启相机预览等 }else{ // 清理相关资源释放 } } }, new IntentFilter(Intent.ACTION_HDMI_PLUGGED)); ``` #### 3. 音频同步支持验证 考虑到部分场景下用户可能期望获得完整的多媒体体验——即不仅限于图像展示还包括声音播放;故而有必要检查当前固件版本是否已妥善集成相应的驱动模块以保障音轨数据能够随同视像一同传输至目标端口[^3]。 #### 4. 显示输出路径配置校验 最后但并非最不重要的一点在于,应当仔细审查有关显示子系统的各项参数设定,尤其是那些涉及多屏协作模式下的优先级安排或是特殊效果启用与否的选择项。任何细微之处都可能是造成最终呈现效果差异的关键因素之一[^4]。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

徐刘根

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值