【CentOS 7】Linux 操作系统防火墙设置和端口开放的方法

最新推荐文章于 2024-05-09 07:27:00 发布
最新推荐文章于 2024-05-09 07:27:00 发布
阅读量354 收藏 1
点赞数
文章标签: linux centos iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rambo_Yang/article/details/112317523
版权

文章目录

一、防火墙介绍

  • 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

  • 防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。

  • Linux 操作系统在默认情况下就安装了防火墙,CentOS 7 内置的防火墙已经从 Iptables 变成了 Firewall

二、防火墙安装

  • yum 安装 firewalld

    # 非图形化界面安装
yum install firewalld  

# 图形化界面安装  
yum install firewall-config  

# 图形化非图形化共同安装  
yum install firewalld firewall-config
三、Iptables 和 Firewall 区别

在这里插入图片描述

四、Iptables 和 Firewall 详解

  • Firewall

    • 简介

      • firewalldCentOS 7 的一大特性,最大的好处是支持动态更新,不用重启服务,并且加入了 zone 概念

      • 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接和接口。它支持 ipv4ipv6,并支持网桥,采用 firewall-cmd(command)firewall-config(GUI) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务

      • firewalld 的字符界面管理工具是 firewall-cmd

      • firewalld 默认配置文件有两个:/usr/lib/firewalld/(系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)

      zone

      Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别

      级别注解
      drop丢弃所有进入的包,而不给出任何响应
      block拒绝所有外部发起的连接,允许内部发起的连接
      public允许指定的进入连接
      external同上,对伪装的进入连接,一般用于路由转发
      dmz允许受限制的进入连接
      work允许受信任的计算机被限制的进入连接,类似 workgroup
      home同上,类似 homegroup
      internal同上,范围针对所有互联网用户
      trusted信任所有连接

      过滤规则

      规则注解
      source根据源地址过滤
      interface根据网卡过滤
      service根据服务名过滤
      port根据端口过滤
      icmp-blockicmp 报文过滤,按照 icmp 类型配置
      masqueradeip 地址伪装
      forward-port端口转发
      rule自定义规则

      其中,过滤规则的优先级遵循如下顺序

      1. source
      2. interface
      3. firewalld.conf

    • 使用

      firewalld.service 基本操作

      • 停止

        systemctl stop firewalld.service

      • 启动

        systemctl start firewalld.service

      • 重启

        systemctl restart firewalld.service

      • 查看状态

        systemctl status firewalld.service

      • 禁止 firewalld 开机启动

        systemctl disable firewalld.service

      • 设置开机启用防火墙

        systemctl enable firewalld.service

      • 查看服务是否开机启动

        systemctl is-enabled firewalld.service

      • 查看已启动的服务列表

        systemctl list-unit-files|grep enabled

      • 查看启动失败的服务列表

        systemctl --failed

      • 查看已经开放的端口列表

        firewall-cmd --zone=public --list-ports

      • 永久开启15672端口

        firewall-cmd --zone=public --add-port=15672/tcp --permanent

      • 重启防火墙使配置生效

        firewall-cmd --reload

      firewall-cmd 基本操作

      • 查看版本

        firewall-cmd --version

      • 查看帮助

        firewall-cmd --help

        --zone=NAME                 # 指定 zone
--permanent                 # 永久修改,--reload 后生效
--timeout=seconds           # 持续效果,到期后自动移除,用于调试,不能与 --permanent 同时使用

      • 查看运行状态

        firewall-cmd --state

      • 查看区域信息

        firewall-cmd --get-active-zones

      • 查看指定接口所属区域

        firewall-cmd --get-zone-of-interface=ens33

      firewall-cmd 规则设置

      • 对外暴露指定端口

        firewall-cmd --zone=public --add-port=9092/tcp --permanent

# 更新防火墙规则使修改生效
firewall-cmd --reload

      • 添加多个端口

        firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp

# 更新防火墙规则使修改生效
firewall-cmd --reload

      • 开放http/80端口服务访问

        firewall-cmd --zone=public --add-port=80/tcp --permanent
# 或者
firewall-cmd --permanent --add-service=http

# 更新防火墙规则使修改生效
firewall-cmd --reload

      • 开放https/443端口服务访问

        firewall-cmd --zone=public --add-port=443/tcp --permanent
# 或者
firewall-cmd --permanent --add-service=https

# 更新防火墙规则使修改生效
firewall-cmd --reload

      • 查看已对外暴露端口列表

        firewall-cmd --zone=public --list-ports

      • 查看所有的规则暴露列表

        firewall-cmd --list-all
# 或者
iptables -nL

      • 查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略)

        firewall-cmd --list-all-zones

      • 取消指定对外暴露的接口

        firewall-cmd --zone=public --remove-port=9092/tcp --permanent

# 更新防火墙规则使修改生效
firewall-cmd --reload

      • 拒绝所有包

        firewall-cmd --panic-on

      • 取消拒绝状态

        firewall-cmd --panic-off

      • 查看是否拒绝

        firewall-cmd --query-panic

      • 设置指定服务的端口号只允许指定网段的服务器能访问的规则

        规则场景一

        # 添加规则,设定 MySQL 服务的 3306 端口只允许 192.168.1.1/24 网段的服务器能访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="3306" accept"
# 或者添加规则,设定 MySQL 服务的 3306 端口只允许 192.168.1.100 这个IP的服务器能访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept"

# 当然除了设置远程服务器的指定 IP 可以访问以外,本地也需要支持可以访问的
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="3306" accept"

# 更新防火墙规则使修改生效
firewall-cmd --reload

        规则场景二

        # 访问 IP 匹配 10.30.125.* 的网段服务器都可以访问 3306 端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.30.125.0/24" port protocol="tcp" port="3306" accept"
# 10.30.125.* 其它网段访问都会被丢弃(也就是说,这么设定以后,该网段服务器只能访问 3306 端口,其它端口或者服务都不能被访问),请注意这两个命令的执行顺序
firewall-cmd --permanent --zone="public" --add-rich-rule="rule family="ipv4" source address="10.30.125.0/24" drop"

        P.S

        address="192.168.1.1/24" 的理解:  
1. /8  是表示只要设置的前一个网段匹配,就能够适配
2. /16 是表示只要设置的前两个网段匹配,就能够适配
3. /24 是表示只要设置的前三个网段匹配,就能够适配
4. /32 是表示只要设置的所有网段都匹配,就能够适配(可以尝试指定 IP 而不进行网段匹配设置,如:address="192.168.1.1")

      • 删除指定服务的端口号只允许指定网段的服务器访问的规则

        firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3306" accept"
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="3306" accept"

      • 更多 rich rule 规则设定请参考如下命令

        man firewalld.richlanguage

      • 端口转发,将到本机的3306端口的访问转发到192.168.1.1服务器的3306端口

        # 开启伪装IP
firewall-cmd --permanent --add-masquerade
# 配置端口转发
firewall-cmd --permanent --add-forward-port=port=3306:proto=tcp:toaddr=192.168.1.2:toport=13306

        P.S
        如果不开启伪装 IP,端口转发会失败。其次,要确保源服务器上的端口(3306)和目标服务器上的端口(13306)是开启的。

  • Iptables(CentOS 7 以下版本适用)

    • 打开/关闭/重启防火墙

      # 开启防火墙(重启后永久生效)
chkconfig iptables on

# 关闭防火墙(重启后永久生效)
chkconfig iptables off

# 开启防火墙(即时生效,重启后失效)
service iptables start

# 关闭防火墙(即时生效,重启后失效)
service iptables stop

# 重启防火墙
service iptables restartd

    • 查看打开的端口

      /etc/init.d/iptables status

    • 打开某个端口(以8080为例)

      # 开启端口
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT 

# 保存并重启防火墙
/etc/rc.d/init.d/iptables save
/etc/init.d/iptables restart

    • 打开49152~65534之间的端口(重启后永久生效)

      iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

    • 其他打开方式

      # 编辑 iptables 文件
vi /etc/sysconfig/iptables

# 在该文件的最后一行添加如下开放指定端口的命令
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT

      P.S
      参数说明:

      –A 参数就看成是添加一条规则
–p 指定是什么协议,我们常用的tcp 协议,当然也有udp,例如53端口的DNS
–dport 就是目标端口,当数据从外部进入服务器为目标端口
–sport 数据从服务器出去,则为数据源端口使用
–j 就是指定是 ACCEPT -接收 或者 DROP 不接收
Ramboooooooo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈简单使用CentOS7防火墙开放端口
01-11
概述(官方有更为详细的说明哦) Firewalld提供动态管理的防火墙,支持网络/防火墙区域,用于定义网络连接或接口的信任级别。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了直接添加防火墙规则的接口。 既然是简单使用, 那必须教会你怎么查看防火墙状态, 以及防火墙的关闭和开启之类的, 我们都知道那既然防火墙都开启了, 那么它必定是有一些端口的限制, 不能说你想通过哪些端口就通过哪些端口, 就能访问到我们的主机(也就是服务器了), 换句说话, 我开放了哪些端口, 你才可以通过我开放的这些端口对我的主机进行访问, 要不然我们还要防火墙
linux防火墙 iptables 关闭端口网段,指定IP或指定网段开放端口
hithedy的专栏
04-03 6638
ip地址后边加个/8(16,24,32) 是掩码的位数, A类IP地址的默认子网掩码为255.0.0.0(由于255相当于二进制的8位1,所以也缩写成“/8”,表示网络号占了8位); B类的为255.255.0.0(/16); C类的为255.255.255.0(/24)。 /30就是255.255.255.252。 /32就是255.255.255.255. 封单个IP的命令: ip...
Linux系统通过firewall限制或开放IP及端口
zhaofuqiangmycomm的博客
12-05 8023
1、首先查看防火墙是否开启,如未开启,需要先开启防火墙并作开机自启 开启防火墙设置开机自启一般需要重启一下机器,不然后面做的设置可能不会生效1、开放端口(1)如我们需要开启XShell连接时需要使用的22端口 其中--permanent的作用是使设置永久生效,不加的话机器重启之后失效(2)重新载入一下防火墙设置,使设置生效 (3)可通过如下命令查看是否生效 (4)如下命令可查看当前系统打开的所有端口 2、限制端口(1)比如我们现在需要关掉刚刚打开的22端口 (2)重新载入一下防火墙
linuxcentos7开启80端口开放外网访问
热门推荐
不花的花和尚的博客
05-21 7万+
情景: widows10 安装了VMware,VMware安了centos7,nat模式连接网络,之前是关了防火墙可以联通(也就是windows可以访问linux上的web,也可以连接linux上的musql数据库),但之后重启后又出问题,我的Windows和linux都可以互相ping通,而且都可以互相联网。查了资料,应该是linux开放端口,如下操作: 查看防火墙是否开启 syst...
使用watch实时观察TCP和UDP端口
u014389734的博客
06-26 666
在软件方面,尤其是在操作系统级别,端口是一种逻辑结构,用于标识特定的进程/应用程序或网络服务的类型,并且在Linux系统上运行的每个网络服务都使用特定的协议(最常见的是TCP (传输控制协议)和UDP(用户数据报协议))以及用于与其他进程或服务进行通信的端口号。 在这篇简短的文章中,我们将向您展示如何使用Linux系统上的套接字摘要实时列出和监视或监视正在运行的TCP和UDP端口。 列出Linux中的所有开放端口 要列出Linux系统上的所有打开的端口,可以使用netstat命令或ss实用程序,如下
mysql端口13306被占用_secureCRT端口转发功能
weixin_34384824的博客
01-28 1759
场景:当数据库服务器放置在需要登录堡垒机才能访问的服务器时,本地程序开发如何连接到数据库呢?这里需要用到远程连接工具securityCRT或者XShell 之类,来完成端口转发的功能。secureCRT下载:链接:https://pan.baidu.com/s/1sP9mRb0pzUOpLbuL_DsDHQ提取码:8wye假设:总共有三台机器:A是开发用的windows主机B是一台lin...
防火墙设置与配置开放端口
Stefan的博客
06-17 6455
一、iptables防火墙 1、 查看防火墙状态 service iptables status 出现Active: active (running)高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止状态。 2、 CentOS6关闭防火墙使用以下命令: # 临时关闭 service iptables stop # 禁止开机启动 chkconfig iptables off # 重启防火墙 service iptables restart 3、 CentOS7
常用端口
紫晓暮雾的博客
03-06 564
端口号 服务 传输层协议 (20), 21 FTP TCP 23 Telnet TCP 25 SMTP TCP 80 http TCP 110 POP3 TCP 53 DNS UDP 443 https/SSL TCP 1433 SQL Server   3306 MyS
Linux7版本防火墙轻松搞定
吴用的博客很有用啊!!!
08-01 1228
防火墙是系统最坚硬的盾牌,需要我们自己去铸造~ 1、Linux7默认用到的防火墙是firewalld (1)systemctl start firewalld 开启防火墙 (2)systemctl stop firewalld 关闭防火墙 (3)systemctl enable firewalld  允许开机启动 (4)systemctl diable firewalld  禁止开机启动...
LinuxCentOS7】防火墙启动、重启添加端口等操作
白面小生的博客
03-31 4112
前言: Centos6 使用的是iptablesCentos7 使用的是filewall iptables 用于过滤数据包,属于网络层防火墙。 firewall 能够允许哪些服务可用,那些端口可用...属于更高一层的防火墙。 1、 firewall常用命令 vim /usr/lib/firewalld/services/ssh.xml vim /usr/lib/fire...
Centos7.1防火墙开放端口快速方法
09-15
主要为大家详细介绍了Centos7.1防火墙开放端口的快速方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
linuxcentos7防火墙基本使用详解
01-10
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动防火墙: systemctl start firewalld.service 关闭防火墙: systemctl stop firewalld.service 重启防火墙: ...
Centos7(Firewall)防火墙开启常见端口命令
01-10
Firewall开启常见端口命令: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent ...
centos 7.3 开放端口并对外开放
qq_35622837的博客
11-09 248
1.  查看已打开的端口  # netstat -anp  2. 查看想开的端口是否已开 # firewall-cmd --query-port=666/tcp   若此提示 FirewallD is not running    表示为不可知的防火墙 需要查看状态并开启防火墙  3. 查看防火墙状态  # systemctl status firewalld  running 状态即防火墙已经...
linux开启端口命令 iptables 打开 查看
ltstud的博客
09-22 1万+
打开指定端口:/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT #80为指定端口 将更改进行保存:/etc/rc.d/init.d/iptables save 或直接在/etc/sysconfig/iptables中增加一行: -A INPUT -m state --state NEW -m tcp -p tcp --dport 80
CentOs7开放防火墙端口
Lipop's博客
03-20 154
在虚拟机安装nginx后发现在本机不能访问,应该是80端口没有开放,在linux开放防火墙端口,发现CentOS 6 系列中的 iptables 相关命令不能用了,在网上查了下,发现Centos 7使用firewalld代替了原来的iptables 查看CentOs系统版本 cat /etc/os-release 使用方法如下: 1、打开防火墙 systemctl start firewalld.service 如开启中出现以下错误 Failed to start firewalld.service:
linux操作防火墙及对外端口开放与禁用
fang0604631023的博客
07-21 7133
linux操作防火墙及对外端口开放与禁用
linux防火墙 开放端口配置
egegerhn的博客
03-22 2614
开放端口方法方法一:命令行方式 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 保存:/etc/rc.d/init.d/iptables save 重启服务:/etc/init.d/iptables restart 查看端口是否开放:/sbin/iptables -L -n 方法二:直接编辑/etc/sysconfig/iptables文件 编辑/etc/sysconfig/iptables文件:vim /etc/sys
Linux的编译器
最新发布
yyl0327的博客
05-09 694
程序的编译过程是将源代码转换为可执行文件的一系列步骤。这个过程涉及多个阶段,主要包括预处理、编译、汇编和链接。
CentOS 系统有两种防火墙iptables 和 firewalld。命令详情
08-09
CentOS 系统防火墙有两种:iptables 和 firewalld。 1. iptables:是 Linux 内核的一部分,是一个防火墙管理工具。使用 iptables 命令管理防火墙规则。 2. firewalld:是一个防火墙管理工具,可以动态管理防火墙...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值