CentOS7使用firewalld打开关闭防火墙与端口

admin

1、firewalld的基本使用
启动： systemctl start firewalld
0 K7 @" @9 u4 K, @* H5 z查看状态： systemctl status firewalld
停止： systemctl disable firewalld
, {7 P) V& p2 f' B禁用： systemctl stop firewalld
: r- x6 p& t5 I
/ w8 k4 j7 j9 L! O$ S9 X2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
2 r8 ?, k* O6 [$ Q( Y6 |  b/ j% X启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
8 i8 p" p/ B: K4 X& a- t% }7 Q重启一个服务：systemctl restart firewalld.service
$ C: C" t. R& ^9 H5 \0 F显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
1 h2 a: J% H% F. [! V) R" x在开机时禁用一个服务：systemctl disable firewalld.service
5 Z& _# W6 m- l* c查看服务是否开机启动：systemctl is-enabled firewalld.service
: i$ r: r4 X, p6 t' \2 v查看已启动的服务列表：systemctl list-unit-files|grep enabled
, Q; z2 Q0 a; z/ @5 l2 f: w查看启动失败的服务列表：systemctl --failed
: N5 r+ N/ c# ~, \- Q4 I
3.配置firewalld-cmd
# \5 N( H7 _& T* k$ O- T
查看版本： firewall-cmd --version
- k; K+ Q. C/ d* [$ J查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
, }% Y: t* z8 t9 p2 }+ C. H+ s) E0 O$ n查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
9 c/ L- K: l) z8 M9 o" G5 h! B查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0 ,  firewall-cmd --get-zone-of-interface=eno16777736
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
& U: ~1 x8 A) D4 P% f. X: d/ R( ]+ C4 ]查看是否拒绝： firewall-cmd --query-panic
" T' U( R" X6 W5 O
4 t/ F- [; X/ A3 E' X2 B那怎么开启一个端口呢
& x  p, R. r! W2 L添加
* l9 G# o4 _# t+ afirewall-cmd --zone=public --add-port=80/tcp --permanent   ,  firewall-cmd --zone=public --add-port=22/tcp --permanent（--permanent永久生效，没有此参数重启后失效）
+ e2 H' q- ^& d# ^重新载入
' f  U0 k' ?! y, j* rfirewall-cmd --reload
# U$ r7 k$ e0 i. a' I查看
firewall-cmd --zone= public --query-port=80/tcp
删除
& S( l. R7 W- nfirewall-cmd --zone= public --remove-port=80/tcp --permanent

admin

查看firewall是否运行,下面两个命令都可以
8 h, M7 s; f8 E3 W) o1 m
( L/ w: `# L' C. ?1 ]9 s( I% asystemctl status firewalld.service

firewall-cmd --state

# V5 q3 l" S* B. t5 z, [; N: X( F

查看当前开了哪些端口

其实一个服务对应一个端口，每个服务对应/usr/lib/firewalld/services下面一个xml文件。
  H. V& z. S7 o
firewall-cmd --list-services
, w. G/ P4 l' A

! `: Y9 C* |: l; q9 {* ^- }* n
+ }2 W6 E$ Y' K' o
# w/ y/ S8 E9 `/ J7 C8 Y3 Y
查看还有哪些服务可以打开

firewall-cmd --get-services


( z& ~- E+ b' B( _3 L" E) x

, ?& _# j7 t" w' \2 ^
; j9 a* u$ C* k6 \" K4 t: G查看所有打开的端口：

9 J6 n/ Z( i  i5 Efirewall-cmd --zone=public --list-ports
, @, ^3 d* D, Z1 t& t- `' b! U

) A8 \0 w/ _' o: p; t/ K! R; M+ Q




7 V; G2 P6 L; N8 |0 P更新防火墙规则：

- m' Y8 s2 q3 Q) u8 vfirewall-cmd --reload

admin

[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
22/tcp

5 z) H. F, v- }2 {- n: S[root@dockerserver ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
- n7 p: L) l+ q2 {success
: `3 _- j, L3 X% m/ ?- k[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
22/tcp
[root@dockerserver ~]# firewall-cmd --reload
success
[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
9 s: _8 G0 C8 d80/tcp 22/tcp
" c7 ^% b7 f3 W1 ^! N

admin

下面的是对特定ip允许访问8080端口（你也可以自己改）
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

admin

1.drop禁止特定ip连接ssh/22服务
$ ]9 _8 w) {4 R( }- j/ J
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ service name=‘ssh‘ drop"
$ a8 O& M: [% bfirewall-cmd --reload
    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则
% W7 T, W& N1 J/ k* \
. g  C, s9 F: [' V0 ?7 j
2.reject禁止特定ip连接ssh/22服务
0 Q4 M! Z. |4 ]/ ]6 a8 Y
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ service name=‘ssh‘ reject"
$ a: I: J6 J# Mfirewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ port port=22 protocol=tcp reject"
firewall-cmd --reload
    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则


3.accept运行特定ip连接ssh/22服务

! h: q7 D0 ^! o& i9 n: @* gfirewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ port port=22 procotol=tcp accept"
+ F1 d5 h. W9 v3 y, f. x6 w! T) C% efirewall-cmd --reload

. U% s4 u7 ^- v" W
防火墙内的策略动作有DROP和REJECT两种，区别如下：
1、DROP动作只是简单的直接丢弃数据，并不反馈任何回应。需要Client等待超时，Client容易发现自己被防火墙所阻挡。
2、REJECT动作则会更为礼貌的返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)，明确的拒绝对方的连接动作。连接马上断开，Client会认为访问的主机不存在。REJECT在IPTABLES里面有一些返回参数，参数如下：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。

: t2 _+ ~! e4 @' n; ?至于使用DROP还是REJECT更合适一直未有定论，因为的确二者都有适用的场合。REJECT是一种更符合规范的处理方式，并且在可控的网络环境中，更易于诊断和调试网络/防火墙所产生的问题；而DROP则提供了更高的防火墙安全性和稍许的效率提高，但是由于DROP不很规范(不很符合TCP连接规范)的处理方式，可能会对你的网络造成一些不可预期或难以诊断的问题。因为DROP虽然单方面的中断了连接，但是并不返回任何拒绝信息，因此连接客户端将被动的等到tcp session超时才能判断连接是否成功，这样早企业内部网络中会有一些问题，例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413)，如果防火墙未经通知的应用了DROP规则的话，所有的同类连接都会失败，并且由于超时时间，将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。

% S  I! ~6 g4 j一点个人经验，在部署防火墙时，如果是面向企业内部(或部分可信任网络)，那么最好使用更绅士REJECT方法，对于需要经常变更或调试规则的网络也是如此；而对于面向危险的Internet/Extranet的防火墙，则有必要使用更为粗暴但是安全的DROP方法，可以在一定程度上延缓黑客攻击的进度(和难度，至少，DROP可以使他们进行TCP-Connect方式端口扫描时间更长)。

admin

查看firewalld的状态：
' R4 y( B  {% D8 f3 P[root@lockey Desktop]# firewall-cmd --state
0 B8 Q/ r# l) E2 V2 M  h6 q* ]查看当前活动的区域，并附带一个目前分配给它们的接口列表：
[root@lockey Desktop]# firewall-cmd --get-active-zones
查看默认区域：
7 m" \$ C# o( ~* @( w* `[root@lockey Desktop]# firewall-cmd --get-default-zone
查看所有可用区域：
[root@lockey Desktop]# firewall-cmd --get-zones
列出指定域的所有设置：
[root@lockey Desktop]# firewall-cmd --zone=public --list-all
列出所有预设服务：
[root@lockey Desktop]# firewall-cmd --get-services
' f& z! h8 t+ [（这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意：配置文件是以服务本身命名的service-name. xml）
: c# J# j3 L$ P" j( T% D列出所有区域的设置：
[root@lockey Desktop]# firewall-cmd --list-all-zones
设置默认区域：
. D7 h, P0 {) E; J! M/ X/ a[root@lockey Desktop]# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域：
$ D$ O+ {% n7 b& y# f1 c[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-source=172.25.254.0/24
  S+ [6 c0 K6 {; _" U" t, i（--permanent参数表示永久生效设置，如果没有指定--zone参数，那么会加入默认区域）
1 `( m& ]( q/ ~1 p删除指定区域中的网路地址：
; w; _) P+ P0 I: x[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-source=172.25.254.0/24
! @# G! V# j; S! r. B) a添加、改变、删除网络接口：
[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-interface=eth0
[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --change-interface=eth0
[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-interface=eth0
, _) z0 q, R1 N添加、删除服务：
[root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-service=smtp
9 y, q; |# G$ y3 q' j" p& y( o[root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-service=smtp
5 y: C8 [9 N: m+ r+ I) p列出、添加、删除端口：
8 k) {9 W0 v3 X  P& l! ~[root@lockey Desktop]# firewall-cmd --zone=public --list-ports
: b* [" d/ b" j. _2 N! T' z2 P[root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-port=8080/tcp
% @* e/ P7 O. U' h0 F  a[root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
7 m: [, G* \0 ?* h重载防火墙：
) q+ C, ~; T* C8 N: |  }[root@lockey Desktop]# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)