CentOS7 防火墙(firewalld)常规操作
1.查看、打开、关闭防火墙
1.1.查看防火墙是否运行
systemctl status firewalld
[root@localhost /]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: active (running) since Fri 2024-03-22 14:58:49 CST; 4min 47s ago
Docs: man:firewalld(1)
Main PID: 21528 (firewalld)
CGroup: /system.slice/firewalld.service
└─21528 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Mar 22 14:58:49 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Mar 22 14:58:49 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
运行:Active: active (running)
[root@localhost /]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
未运行:Active: inactive (dead)
1.2.打开防火墙
systemctl status firewalld.service
[root@localhost /]# systemctl status firewalld.service
1.3.关闭防火墙
systemctl stop firewalld.service
[root@localhost /]# systemctl stop firewalld.service
1.4.开机关闭
systemctl disable firewalld.service
[root@localhost /]# systemctl disable firewalld.service
1.5. 开机启动
systemctl enable firewalld
[root@localhost /]# systemctl enable firewalld
2.端口打开、关闭、
2.1.打开端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
public:代表作用域 (【block】、【dmz】、【drop】、【external】、【home】、【internal】、【public】、【trusted】、【work】9个种类)
permanent:代表永久生效
80/tcp:代表端口和协议
[root@localhost /]# firewall-cmd --zone=public --add-port=80/tcp --permanent
2.2.关闭端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent
[root@localhost /]# firewall-cmd --zone=public --remove-port=80/tcp --permanent
2.3. 禁止PING
[root@web02 ~]# firewall-cmd --permanent --add-rich-rule=‘rule protocol value=icmp drop’
[root@localhost /]# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
3.重新加载防火墙配置
firewall-cmd --reload
打开、关闭端口后需要重新加载防火墙配置,否则无法生效
[root@localhost /]# firewall-cmd --reload
4.查询
4.1.查看指定端口
firewall-cmd --zone=public --query-port=80/tcp
yes为开放
no为禁止
[root@localhost /]# firewall-cmd --zone=public --query-port=80/tcp
yes
[root@localhost /]# firewall-cmd --zone=public --query-port=80/udp
no
4.2.查看已开放端口
firewall-cmd --list-ports
[root@localhost /]# firewall-cmd --list-ports
80/tcp 7799/tcp
4.3.查看已开放的服务
[firewall-cmd --list-service
[root@localhost /]# firewall-cmd --list-service
ssh dhcpv6-client
5.检查规则正确
firewall-cmd --check-config
[root@localhost /]# firewall-cmd --check-config
success
6.其它
6.1. zone概念:硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域https://blog.csdn.net/Neviller_Ma/article/details/121828280
drop(丢弃):任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。(黑名单)
block(限制):任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
public(公共):在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。(默认区域)
external(外部):特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(非军事区):用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作):用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
home(家庭):用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部):用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
trusted(信任):可接受所有的网络连接。(白名单)
firewalld 的默认区域是 public