【CentOS7】CentOS7.2常用操作一【防火墙相关命令】

CentOS7.2常用操作一【防火墙相关命令】

防火墙相关命令

一、CentOS7关闭firewall并启用iptables管理防火墙

CentOS7中默认使用firewall对防火墙进行管理，采用防火墙服务名为firewalld.service。
iptables用于过滤数据包，属于网络层防火墙；
firewall能够允许哪些服务可用，哪些端口可用，属于更高一层的防火墙。
1. 相关firewall命令:

systemctl start firewalld.service     #启动firewall
systemctl stop firewalld.service      #停止firewall
systemctl enable firewalld.service    #开机自动启动
systemctl disable firewalld.service   #禁止firewall开机启动
systemctl status firewalld            #查看firewall服务状态
firewall-cmd --state                  #查看firewall的状态//running表示运行

#开启、重启、关闭firewalld.service服务
service firewalld start               #开启firewall.service服务
service firewalld restart             #重启firewall.service服务
service firewalld stop                #关闭firewall.service服务

#修改防火墙配置文件之前，需要对之前的防火墙配置文件做好备份
firewall-cmd --list-all               #查看防火墙规则(只显示/etc/firewalld/zones/public.xml中的防火墙策略)
firewall-cmd --list-all-zones         #查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略)

#查询、开放、关闭端口(--permanent永久生效，没有此参数重启后失效，记得更新防火墙)
firewall-cmd --zone=public --query-port=8080/tcp                   #查询端口是否开放
firewall-cmd --zone=public --add-port=80/tcp --permanent           #启用80端口
firewall-cmd --zone=public --remove-port=8080/tcp --permanent      #移除端口

##重新启动服务，让规则生效
1，firewall-cmd --reload                     #在不改变状态的条件下重新加载防火墙配置文件(修改配置后需要重启服务器)
2，systemctl start firewalld.service         #方法二，重新启动             

注：
1，firewall的服务配置文件:
    /usr/lib/firewalld--默认+备用配置；
    /etc/firewalld--系统配置设置
2，firewall-cmd:是Linux提供的操作firewall的一个工具；
3，--permanent：永久修改，--reload后生效；
4，--add-port:标识添加的端口;
5,--zone=NAME:指定zone

systemctl命令是系统服务管理器指令，它实际上将service和chkconfig这两个命令组合到一起：

• systemctl命令：是一个systemd工具，主要负责控制systemctl系统和服务管理器；
• service命令：可以启动、停止、重新启动和关闭系统服务，还可以显示所有系统服务的当前状态；
• chkconfig命令：是管理系统服务(service)的命令行工具。所谓系统服务(service)，就是随系统启动而启动，随系统关闭而关闭的程序。

2. 相关iptables命令：

##安装iptables防火墙
yum install iptables-service   #安装

##编辑iptables防火墙配置
vi /etc/sysconfig/iptables    #编辑防火墙配置文件
在配置文件中加入一行：
-A INPUT -p tcp -m state --state NEW -m tcp --dport [端口] -j ACCEPT  #[端口]为开放的端口

##对相关iptables的配置
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 	#配置允许ssh端口连接，22为端口，-s指定允许的网段
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 		#开启80端口
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 	#允许被ping
-s 指定源地址
-d 指定目标地址
-p 指定协议
-i 指定数据报文流入接口
-o 指定数据报文流出接口


##防火墙启动，关闭，查看状态
service iptables status //或systemctl  status  iptables.service   #查看防火墙启动状态
service iptables stop //或systemctl  stop  iptables.service       #关闭防火墙
service iptables start //或systemctl  start  iptables.service     #启动防火墙
service iptables restart //或systemctl restart iptables.service   #重启防火墙
iptables --list-rules                                             #查看规则列表(查看所有端口)

待续……

相关链接：
【1】防火墙(firewalld、firewalld-cmd、systemctl、iptables)对比
【2】iptables详解
【3】Linux下IP tables配置详解