添加防火墙网络策略
在使用浏览器访问nginx服务之前,需要关闭防火墙或者添加防火墙策略是nginx服务可以监听到对应端口的服务。
CentOS7下使用firewall命令对防火墙策略进行操作,例如:
# 查看所有已开放的临时端口(默认为空) # firewall-cmd --list-ports # 查看所有永久开放的端口(默认为空) # firewall-cmd --list-ports --permanent # 添加临时开放端口(例如:80端口) # firewall-cmd --add-port=80/tcp # 添加永久开放的端口(例如:80端口) # firewall-cmd --add-port=80/tcp --permanent # 关闭临时端口 # firewall-cmd --remove-port=80/tcp # 关闭永久端口 # firewll-cmd --remove-port=80/tcp --permanent # 配置结束后需要输入重载命令并重启防火墙以生效配置 # firewall-cmd --reload # systemctl restart firewalld
对单台设备
开放(关闭)所有防火墙策略
开放
# 临时开放
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="<server_ip>" accept'
# 永久开放
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="<server_ip>" accept' --permanent
关闭
# 临时关闭
# firewall-cmd --remove-rich-rule='rule family="ipv4" source address="<server_ip>" accept'
# 永久关闭
# firewall-cmd --remove-rich-rule='rule family="ipv4" source address="<server_ip>" accept' --permanent
可创建
ips.txt
文件保存所有可访问(或者不可访问的ip)100.100.100.100 100.100.100.101
并编辑批量添加脚本,内容如下:
#! /usr/bin/bash the_ips=`more ips.txt` for ip in $the_ips; do echo $ip && firewall-cmd --add-rich-rule='rule family="ipv4" source address='$ip' accept' --permanent ; done firewall-cmd --reload # remove the policy #for ip in $the_ips; do echo $ip && firewall-cmd --remove-rich-rule='rule family="ipv4" > source address='$ip' accept' --permanent ; done #firewall-cmd --reload
以上执行结束后需要重启防火墙或者重新载入以使配置生效
# firewall-cmd --reload
或
# systemctl restart firewalld