centos7常见问题-firewalld和iptables

防火墙

Iptables

CentOS7.0默认使用的是firewall作为防火墙，我们先用之前的iptables。

systemctl stop firewalld

systemctl disable firewalld

yuminstall iptables-services  -y

# yuminstall iptables-ipv6   -y

#systemctl start ip6tables

#systemctl enable ip6table

chkconfig  iptalbes on

或者

systemctlenable iptables.service

systemctlstart iptables.service

或者

service iptables start

service iptables save

配置策略什么的和centos5、6是相同的。

Firewalld

安装firewall防火墙   

#yum remove iptables-services -y

yum install firewalld  firewall-config -y

systemctl start firewalld.service

#systemctl stop firewalld.service

systemctl enable firewalld.service

#systemctl disable firewalld.service

systemctlstatus firewalld

配置

工具 firewall-cmd

firewall-cmd �help

检查当前的顶级防火墙配置使用以下命令。

firewall-cmd�state(检查防火墙状态)

firewall-cmd--get-service（检查活动服务）

firewall-cmd--get-service �permanent（检查将在下个重启后积极检查的服务）

firewall-cmd--get-active-zones（检查活动区域）

锁定并使用一下命令开启防火墙

#firewall-cmd--panic-on

success

#firewall-cmd--query-panic

yes

#firewall-cmd--panic-off

syccess

#firewall-cmd--query-panic

no

重新加载运行时配置的永久文件使用以下命令。

firewall-cmd--reload

防火墙有预定义的服务,这是XML文件“/ usr / lib / firewalld /服务/”目录。

你不应该编辑这些。相反,一个特定的服务文件复制到“/etc / firewalld /服务/”目录和编辑它。firewalld服务总是使用文件“/ etc / firewalld /服务/”目录优先于那些“/ usr / lib / firewalld /服务/”目录。记住做任何修改后重新加载配置。

firewall-cmd--reload

添加一个现有的服务区域。

独立设置运行时和永久。

#firewall-cmd --zone=public --add-service=https

firewall-cmd--permanent --zone=public --add-service=https

firewall-cmd�reload

检查服务区域

firewall-cmd--zone=public --list-services（临时）

firewall-cmd--permanent --zone=public --list-services（永久）

移除一个现有的服务区域。

firewall-cmd --permanent --zone=public--remove-service=https

firewall-cmd --reload

#firewall-cmd--zone=public --list-ports

#firewall-cmd--permanent --zone=public --list-ports

#firewall-cmd--permanent --zone=public --remove-port=

丰富的规则允许您创建更复杂的配置。下面的命令允许您打开HTTP访问到一个特定的IP地址。

firewall-cmd--permanent --zone=public --add-rich-rule="rule family="ipv4" \

>     source address="192.168.0.4/24"service name="http" accept"

“/etc / firewalld /区/公众。xml”文件现在包含丰富的规则。

移除规则

firewall-cmd--permanent --zone=public --remove-rich-rule="rule family="ipv4"\

>     source address="192.168.0.4/24"service name="http" accept"

下面的示例打开和关闭8080端口为一个特定的源IP地址使用丰富的规则。

firewall-cmd--permanent --zone=public --add-rich-rule="rule family="ipv4" \

>      source address="192.168.0.4/24"\

>      port protocol="tcp"port="8080" accept"

>      port protocol="tcp"port="8080" accept"

希望和大家互相交流和学习