Linux 之七：Linux 防火墙 和进程管理

防火墙

查看防火墙

查看 Centos7 的防火墙的状态

sudo systemctl status firewalld。

查看后，看到active(running)就意味着防火墙打开了。

关闭防火墙，命令为：

sudo systemctl stop firewalld。

关闭后查看是否关闭成功，如果看到inactive(dead)就意味着防火墙关闭了

上面打开和关闭防火墙都是临时的，重启电脑后又会恢复到默认的状态(我的默认状态是打开)。

如果是想重启后防火墙还是处于关闭的状态，得使用命令：

sudo systemctl disable firewalld。

Centos7 和 6 区别：

使用的工具不一样了。Centos6 使用的是iptables ，Centos7 使用的是firewall

iptables 用于过滤数据包，属于网络层防火墙。

firewall 能够允许哪些服务可用，哪些端口可用...属于更高一层的防火墙。

常用命令

firewall-cmd --state # 查看防火墙状态，只是显示是否运行状态

firewall-cmd --list-all

firewall-cmd --zone=public --list-ports #查看防火墙所有开放的端口

firewall-cmd --reload

firewall-cmd --zone=public --permanent --add-port=8502/tcp

systemctl enable firewalld # 启用防火墙 启动时 自动启动防火墙

systemctl restart firewalld # 重启防火墙 一般用于有更新（开放或禁用端口）

systemctl disable firewalld # 禁用防火墙 启动时，不能启动防火墙

systemctl status firewalld # 查看防火墙状态详细

systemctl start firewalld # 启动防火墙

systemctl stop firewalld # 停止防火墙

开放端口

firewall-cmd --zone=public --permanent --add-port=8080/tcp # 添加开放端口

firewall-cmd --zone=public --remove-port=80/tcp --permanent # 移除开放端口

也可以直接修改配置文件：

vi /etc/firewalld/zones/public.xml

用户修改的文件在 /etc/firewalld/zones/下。

系统的是在：/usr/lib/firewalld/services/ssh.xml

public.xml 文件内容：

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="8080"/>
  <port protocol="tcp" port="3306"/>
  <port protocol="tcp" port="6379"/>
  <port protocol="tcp" port="8088"/>
</zone>

参数介绍：

1、firwall-cmd：是Linux提供的操作 firewall 的一个工具；

2、--permanent：表示设置为持久；

3、--add-port：标识添加的端口；

另外，firewall中有 Zone 的概念，可以将具体的端口制定到具体的 zone 配置文件中。

例如：添加8088端口

firewall-cmd --zone=public --permanent --add-port=8088/tcp

--zone=public：指定的zone为public；

如果–zone=dmz 这样设置的话，会在dmz.xml文件中新增一条。

注意： 端口更新后，记得重启或重新加载。

[root@wang bin]# firewall-cmd --zone=public --add-port=8080/tcp --permanent
success
[root@wang bin]# firewall-cmd --reload
success
[root@wang bin]# systemctl restart firewalld    # 这个命令和上面 reload 执行一个就可以了

进程管理

常用命令

​ a) ps 命令用于查看当前正在运行的进程。 ​ grep 是搜索 ​ 例如： ps -ef | grep java ​ 表示查看所有进程里 CMD 是 java 的进程信息 ​ b) ps -aux | grep java ​ -aux 显示所有状态 ​ ps ​ c). kill 命令用于终止进程 ​ 例如： kill -9 [PID] ​ -9 表示强迫进程立即停止 ​ 通常用 ps 查看进程 PID ，用 kill 命令终止进程

​ d) netstat -nlutp|grep 8080 查看指定端口占用情况，被哪一个进程占用了

端口冲突处理

下面就是找到冲突端口被哪一个程序占用，然后根据ID，杀死进程。

[root@wang bin]# netstat -nlutp|grep 8080                           # 先查询端口占用情况 找出进程 PID
tcp6       0      0 :::8080                 :::*                    LISTEN      5558/java           
[root@wang bin]# netstat -nlutp|grep 3306
tcp6       0      0 :::33060                :::*                    LISTEN      1644/mysqld         
tcp6       0      0 :::3306                 :::*                    LISTEN      1644/mysqld         
[root@wang bin]# netstat -nlutp|grep 3333            ### 测试没有占用端口时，显示的效果，什么都不显示
[root@wang bin]# kill -9 5558                        ### 再根据 PID 删除 
[root@wang bin]# netstat -nlutp|grep 8080            ### 再次查看端口，没有占用情况了。

netstat -tlunp 查看进程 端口 t 和 u 分别表示tcp和udp

常见参数

-a (all)显示所有选项，默认不显示LISTEN相关 -t (tcp)仅显示tcp相关选项 -u (udp)仅显示udp相关选项 -n 拒绝显示别名，能显示数字的全部转化成数字。 -l 仅列出有在 Listen (监听) 的服務状态

-p 显示建立相关链接的程序名 -r 显示路由信息，路由表 -e 显示扩展信息，例如uid等 -s 按各个协议进行统计 -c 每隔一个固定时间，执行该netstat命令。