linux系統(tǒng)防火墻的打開和關(guān)閉centos7和之前的版本的略有差別。

一、centos7之前的版本可以通過iptables相關(guān)命令實(shí)現(xiàn)防火墻的打開和關(guān)閉

1.首先可以在打開的終端使用iptables --help查看幫助使用命令；

2.查看防火墻狀態(tài)：service iptables status(此命令可以查看防火墻是打開還是關(guān)閉);

3.service iptables常接參數(shù)：

（1）service iptables stop關(guān)閉防火墻；

（2）service iptables start開啟防火墻；

（3）service iptables reload重新加載防火墻；

（4）service iptables restart重啟防火墻；

4.永久關(guān)閉/打開防火墻

chkconfig iptables off  永久關(guān)閉防火墻；

chkconfig iptables on永久打開防火墻；

5.linux圖形化界面實(shí)現(xiàn)打開和關(guān)閉防火墻

終端輸入setup并回車進(jìn)入圖形化界面，進(jìn)行相應(yīng)選擇。如關(guān)閉防火墻：依次選擇“選擇一種工具——防火墻配置——運(yùn)行工具——安全級(jí)別——禁用——確定“；

6.激活和關(guān)閉防火墻端口

（1）用上文所說的命令開啟防火墻后,需要修改/etc/sysconfig/iptables文件，添加兩條開啟80、22端口的命令

- A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

- A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

 （2）centos linux防火墻一方面可以使用上文章節(jié)5里面提到的方法關(guān)閉，也可以使用命令關(guān)閉：

#sbin/iptables -l INPUT -p tcp -dport 80 -j ACCEPT

#sbin/iptables -l INPUT -p tcp -dport 22 -j ACCEPT

#/etc/init.d/iptables stop

（3）UBuntu關(guān)閉防火墻只需要輸入下面一條命令即可

iptables -A INPUT -i ! PPP0 -j ACCEPT

二、對(duì)于centos7系統(tǒng)

centos7使用firewall命令來開啟和關(guān)閉防火墻。

1.systemctl命令

（1）systemctl  status firewalld.service查看防火墻的狀態(tài)；

（2）systemctl  start firewalld.service啟動(dòng)防火墻；

（3）systemctl  stop firewalld.service關(guān)閉防火墻；

（4）systemctl  restart firewalld.service重啟防火墻；

（5）systemctl  enable firewalld.service開機(jī)啟動(dòng)防火墻；

（6）systemctl  disable firewalld.service開機(jī)禁用防火墻；

（7）systemctl  is-enabled firewalld.service查看防火墻是否開機(jī)啟動(dòng)；

2.Firewall區(qū)域管理

firewall引入了zone概念，firewall能將不同的網(wǎng)絡(luò)連接歸類到不同的信任級(jí)別，為了便于理解，這里附上級(jí)別說明：

     block(阻塞區(qū)域)拒絕所有外部的連接，返回icmp-host-prohibited,允許內(nèi)部發(fā)起的連接；

    dmz(隔離區(qū)域)允許受限制的進(jìn)入連接；

    drop(丟棄區(qū)域)丟棄所有進(jìn)入的包，而不給出任何響應(yīng)；

    external(外部區(qū)域)只有指定的連接被接受，一般用于路由轉(zhuǎn)發(fā)；

    home(家庭區(qū)域)允許受信任的計(jì)算機(jī)被限制的進(jìn)入連接；

    internal(內(nèi)部區(qū)域)信任網(wǎng)絡(luò)上其他計(jì)算機(jī)，不會(huì)損壞你的計(jì)算機(jī)。只有選擇接受傳入的網(wǎng)絡(luò)連接；

    public(公共區(qū)域)不信任網(wǎng)絡(luò)上的任何計(jì)算機(jī)，只有選擇接受傳入的網(wǎng)絡(luò)連接；

   trusted(信任區(qū)域)信任所有連接；

   work(工作區(qū)域)允許受信任的計(jì)算機(jī)被限制的進(jìn)入連接。

查看區(qū)域管理命令示例：

（1）firewall-cmd --list-all-zones查看域詳情列表；

（2）firewall-cmd --get-zones查看支持的區(qū)域列表；

（3）firewall-cmd --get-default-zone查看默認(rèn)的區(qū)域列表；

（4）firewall-cmd --set-default-zone=home設(shè)置默認(rèn)的區(qū)域；

（5）firewall-cmd --zone=home --list-all查看home區(qū)域l；

（6）firewall-cmd --get-active-zone查看活動(dòng)的區(qū)域；

（7）firewall-cmd --permanent-new-zone=myself創(chuàng)建自己的區(qū)域；

（8）firewall-cmd --permanent-delete-zone=myself刪除區(qū)域；

3.Firewall服務(wù)端口管理

在下面提到的命令示例中，帶"--permanent"永久生效的策略記錄（除了查看）執(zhí)行后，必須執(zhí)行"--reload"參數(shù)后才能立即生效，否則需要重啟后再生效。不帶"--permanent"的命令立即生效，但是reload或者restart后失效。

（1）firewall-cmd --state查看防火墻狀態(tài)；

（2）firewall-cmd --get services查看已被firewall提供的一些常用服務(wù)；

（3）firewall-cmd --zone=public --permanent --list-services查看某域的服務(wù)（注：加了--permanent表示永久服務(wù)，不加顯示所有服務(wù)，包含臨時(shí)服務(wù)；不加--zone表示默認(rèn)區(qū)域）；

（4）firewall-cmd --zone=public--permanent --add-service=http添加某域的服務(wù)；

（5）firewall-cmd --zone=public--permanent --remove-service=http移除某域的服務(wù)（注：加了--permanent表示永久服務(wù)，不加顯示所有服務(wù)，包含臨時(shí)服務(wù)；不加--zone表示默認(rèn)區(qū)域）；

（6）firewall-cmd --zone=home--permanent --add-por=5000/tcp添加端口；

（7）firewall-cmd --zone=home--permanent --remove-por=5000/tcp刪除端口；

（8）firewall-cmd --zone=home--permanent --add-por=5000-5005/tcp添加多端口（注：加了--permanent表示永久服務(wù)，不加顯示所有服務(wù)，包含臨時(shí)服務(wù)；不加--zone表示默認(rèn)區(qū)域；端口后面的tcp和udp表示協(xié)議類型）；

（9）firewall-cmd --zone=public --permanent --list-ports查看端口情況（注：加了--permanent表示永久服務(wù)，不加顯示所有服務(wù)，包含臨時(shí)服務(wù)；不加--zone表示默認(rèn)區(qū)域）；

（10）firewall-cmd --zone=public --query-service=ssh查詢服務(wù)是否被允許（不加--zone表示默認(rèn)區(qū)域）；

（11）firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toport=8080將80端口的流量轉(zhuǎn)發(fā)至8080端口；

（12）firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toaddr=192.168.1.1將80端口的流量轉(zhuǎn)發(fā)至192.168.1.1；

（13）firewall-cmd --permanent --zone=public --add-forward-port=80:proto=tcp:toaddr=192.168.1.1:toport=8080將80端口的流量轉(zhuǎn)發(fā)至192.168.1.1的端口8080端口（注：不加ip地址，默認(rèn)轉(zhuǎn)發(fā)到本地的端口；不加--zone表示默認(rèn)區(qū)域；不加--permanent表示臨時(shí)增加，reload或則restart后失效）。

4.手動(dòng)編寫服務(wù)

可以將某個(gè)程序需要的端口寫在一個(gè)自己編寫的服務(wù)里，然后直接添加服務(wù)就可以。

/usr/lib/firewalld/services創(chuàng)建自己的服務(wù)，格式可以拷貝/etc/firewalld/services任意一個(gè)服務(wù)。

（1）查找服務(wù)：

firewalld-cmd --get-srvice |grep myself

（2）重新加載配置：

firewall-cmd --reload

最新評(píng)論