CentOS7使用firewalld打开关闭防火墙与端口

admin

1、firewalld的基本使用
启动： systemctl start firewalld
查看状态： systemctl status firewalld
停止： systemctl disable firewalld
  ?/ u' ]) R) l- _. x: s& e9 i7 {! B* s禁用： systemctl stop firewalld

1 D) p  E" |0 q$ g/ g' @4 W* E2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
启动一个服务：systemctl start firewalld.service
5 o7 h3 f) E, {* A+ a+ F/ {关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
3 i+ d8 N( S  o& e; M/ ?+ S在开机时启用一个服务：systemctl enable firewalld.service
% {. Y0 H0 _8 \. `7 H& m/ t在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
& Y! i& D% l2 m查看已启动的服务列表：systemctl list-unit-files|grep enabled
# t; O9 K' i$ ^  C7 p, C查看启动失败的服务列表：systemctl --failed
7 ?; v8 A* P/ o0 p
3.配置firewalld-cmd
, G! I; s2 ?9 [7 n( }$ |
% B' d8 y) {) w0 {查看版本： firewall-cmd --version
6 K( H3 g  E# e6 R查看帮助： firewall-cmd --help
2 Q3 x* ?% C1 Y! h) E) T4 W显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
* x+ P3 s$ f1 t5 x8 h$ i8 n& Z5 O更新防火墙规则： firewall-cmd --reload
查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0 ,  firewall-cmd --get-zone-of-interface=eno16777736
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
! |1 L4 F5 n8 o3 l8 X查看是否拒绝： firewall-cmd --query-panic
/ D0 {2 T0 c* {9 Z- ^7 `& \
那怎么开启一个端口呢
添加
( M) Q1 o( f) N3 ffirewall-cmd --zone=public --add-port=80/tcp --permanent   ,  firewall-cmd --zone=public --add-port=22/tcp --permanent（--permanent永久生效，没有此参数重启后失效）
! `6 d& o8 w$ [) Z1 R2 K3 M( c0 _# R重新载入
/ x& N# q- s% C5 e  |firewall-cmd --reload
查看
# v# {) d" G: ]" q( i5 Z) O, G1 hfirewall-cmd --zone= public --query-port=80/tcp
4 l5 j( S; h5 B! L9 _, `) O# j5 W. Z删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent

admin

查看firewall是否运行,下面两个命令都可以

& g# r, `7 y- fsystemctl status firewalld.service
: k- m# B/ F. @5 @! n% n
firewall-cmd --state

0 }; Z9 e3 F( x
  Q  [, N. o9 @( A
& s, q* B2 v! ~) @$ W! {. o) C7 F查看当前开了哪些端口
3 p% m- X& A0 z) e
2 b) w/ `2 }: [7 O% `4 A$ j: M- X其实一个服务对应一个端口，每个服务对应/usr/lib/firewalld/services下面一个xml文件。

firewall-cmd --list-services
9 g7 q9 F. [" I+ z
' b+ {( A% ^) S! c& M, G# i% P
  p; ~! M' K$ b" o% ]

" a' {% J9 W, p) [' Z! o5 q
查看还有哪些服务可以打开
& ^' I! v5 c8 E  x
8 Y% U! D1 E1 V9 Y/ n! @" b" hfirewall-cmd --get-services

, L( F" z. p. [$ n, E


' V1 L- v9 G  l  A1 Q
3 D, Y$ {% m+ y+ a9 Q查看所有打开的端口：
  X- l. a/ c7 v) ]4 M( X7 G
firewall-cmd --zone=public --list-ports

5 K+ Y* U% X  G+ E+ b! |/ c
1 ^/ ]9 w: M9 Y; R" S

: ~) s$ y6 K0 B1 x8 j! g1 |. V

8 ?3 k) `6 x$ A/ M' {. }
更新防火墙规则：

firewall-cmd --reload

admin

[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
22/tcp
( l& t* A% D8 u: K
  K  J" R% N1 l  h+ {: P3 w[root@dockerserver ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
' }; w2 h' R6 }success
: C* X# ?; w0 H+ e  Q8 C/ F[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
/ ]# r3 Z! H4 C% z' u22/tcp
[root@dockerserver ~]# firewall-cmd --reload
, H3 k2 I- N7 s' T" V) e+ ssuccess
[root@dockerserver ~]# firewall-cmd --zone=public --list-ports
, T; \3 z" m. m  m8 f7 a80/tcp 22/tcp

admin

下面的是对特定ip允许访问8080端口（你也可以自己改）
/ F3 I) z6 d, k* lfirewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"

admin

1.drop禁止特定ip连接ssh/22服务
" ?1 H+ J# H4 d+ o5 ^" F5 J' R
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ service name=‘ssh‘ drop"
firewall-cmd --reload
9 N5 X& I. A9 X  T9 a" g3 I* y    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则
: [" I/ F* M# p" X+ Y- l
6 k& G) E+ a; h
) H% Y$ ?. p: A' w. ?2.reject禁止特定ip连接ssh/22服务
; X$ \1 P5 v7 a; t* S$ H1 @
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ service name=‘ssh‘ reject"
$ @; V6 h8 y+ `0 J' Rfirewall-cmd --permanent --zone=public --add-rich-rule="rule family=‘ipv4‘ source address=‘x.x.x.x/24‘ port port=22 protocol=tcp reject"
firewall-cmd --reload
    ##重新加载防火墙配置，不然firewall-cmd --list-all-zones不会显示刚加上的规则
+ [- y, Z' b+ K9 A* J

( h, h4 z- N$ E6 Q1 W: s4 _3 L* k! C3.accept运行特定ip连接ssh/22服务
+ J7 c7 h. G7 X) q) w7 {  n
& t3 h! [7 k4 i) O3 S2 S- Dfirewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address=‘x.x.x.x/24‘ port port=22 procotol=tcp accept"
firewall-cmd --reload


防火墙内的策略动作有DROP和REJECT两种，区别如下：
1、DROP动作只是简单的直接丢弃数据，并不反馈任何回应。需要Client等待超时，Client容易发现自己被防火墙所阻挡。
( K3 ?* U( d9 t2、REJECT动作则会更为礼貌的返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)，明确的拒绝对方的连接动作。连接马上断开，Client会认为访问的主机不存在。REJECT在IPTABLES里面有一些返回参数，参数如下：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。

至于使用DROP还是REJECT更合适一直未有定论，因为的确二者都有适用的场合。REJECT是一种更符合规范的处理方式，并且在可控的网络环境中，更易于诊断和调试网络/防火墙所产生的问题；而DROP则提供了更高的防火墙安全性和稍许的效率提高，但是由于DROP不很规范(不很符合TCP连接规范)的处理方式，可能会对你的网络造成一些不可预期或难以诊断的问题。因为DROP虽然单方面的中断了连接，但是并不返回任何拒绝信息，因此连接客户端将被动的等到tcp session超时才能判断连接是否成功，这样早企业内部网络中会有一些问题，例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413)，如果防火墙未经通知的应用了DROP规则的话，所有的同类连接都会失败，并且由于超时时间，将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。

一点个人经验，在部署防火墙时，如果是面向企业内部(或部分可信任网络)，那么最好使用更绅士REJECT方法，对于需要经常变更或调试规则的网络也是如此；而对于面向危险的Internet/Extranet的防火墙，则有必要使用更为粗暴但是安全的DROP方法，可以在一定程度上延缓黑客攻击的进度(和难度，至少，DROP可以使他们进行TCP-Connect方式端口扫描时间更长)。
1 J4 q6 p$ n- X0 i& v) V2 V

admin

查看firewalld的状态：
[root@lockey Desktop]# firewall-cmd --state
查看当前活动的区域，并附带一个目前分配给它们的接口列表：
- b0 L0 l; @0 `9 z[root@lockey Desktop]# firewall-cmd --get-active-zones
6 I8 [! T# B, H# C查看默认区域：
[root@lockey Desktop]# firewall-cmd --get-default-zone
查看所有可用区域：
[root@lockey Desktop]# firewall-cmd --get-zones
$ i, a% _* C. ^2 I5 B+ H列出指定域的所有设置：
$ w& N7 V0 c) O[root@lockey Desktop]# firewall-cmd --zone=public --list-all
4 b, k' u; ?( ^! f1 O* P6 j列出所有预设服务：
[root@lockey Desktop]# firewall-cmd --get-services
3 k, t$ y* d, d4 ?) X0 N（这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意：配置文件是以服务本身命名的service-name. xml）
列出所有区域的设置：
5 p2 t. u) j) Z$ l$ H0 d4 V1 X# @, h[root@lockey Desktop]# firewall-cmd --list-all-zones
设置默认区域：
; V2 H# W) c# A$ V9 I' L[root@lockey Desktop]# firewall-cmd --set-default-zone=dmz
8 C4 C  }, E9 @% `/ C, a! q设置网络地址到指定的区域：
9 i9 u. n9 \- m3 V[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-source=172.25.254.0/24
（--permanent参数表示永久生效设置，如果没有指定--zone参数，那么会加入默认区域）
删除指定区域中的网路地址：
1 o# y7 X' a5 R3 m# D. I3 E[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-source=172.25.254.0/24
添加、改变、删除网络接口：
[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --add-interface=eth0
3 L( O& t/ s$ R) y$ b7 z7 e( m4 h$ t[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --change-interface=eth0
: L  g3 k; H' l$ @) R[root@lockey Desktop]# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务：
- c" D. i& l5 S, E% g[root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-service=smtp
( j+ M; l. H" j, `" \9 w" c; M[root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-service=smtp
4 c7 O3 {* x1 q0 z' S: ^  v- C) E9 K列出、添加、删除端口：
6 n6 M8 t4 c0 o& q( X[root@lockey Desktop]# firewall-cmd --zone=public --list-ports
[root@lockey Desktop]# firewall-cmd --permanent --zone=public --add-port=8080/tcp
[root@lockey Desktop]# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙：
[root@lockey Desktop]# firewall-cmd --reload
3 C: i' T) H" X8 G(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)