ファイアウォールの使用centos7

＃*＃ファイアウォールやファイアウォールの詳細な設定やファイアウォールiptablesの（設定適応、このファイアウォールを有効にすることをお勧めします）

1、公式文書では説明しています。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1

2、CentOSの7ファイアウォールは非常に強力な機能である、アップグレードのCentOS 6.5は、ファイアウォールiptablesの中で行われます。

3、ファイアウォールの設定

　　図1に示すように、システム・コンフィギュレーション・ディレクトリ（ディレクトリサービスとネットワークストレージポート定義パラメータ、システムパラメータを変更することはできません）

/ usr / libに/ firewalld /サービス

 

 　　2、ユーザー設定ディレクトリ

の/ etc / firewalld /

 　　3、照会状況、開いているポートは、有効にします

クエリサービスのステータス
systemctl状態firewalldは、

ファイアウォールの状態を確認
ファイアウォール-CMD --stateが

開いているポートを見つける
ファイアウォール-CMD --list-ポート

：クエリ・ポートは（80 EG）が開いている
ファイアウォール-CMD = --queryポート80 / TCP

オープンポート（EG：80）
ファイアウォール-CMD = --zone公共--add-ポート= 80 / TCP --permanent 

除去ポート（EG：8080）
ファイアウォール--permanent --remove-ポート-CMD = 8080 / TCP

（ファイアウォールを再起動してファイアウォールを再起動するように設定を変更した後）
systemctlスタートfirewalld.serviceが開始#firewall 
有効systemctl firewalld.service #firewallブート
systemctl再起動firewalld.service //ファイアウォール-CMD --reload

近いファイアウォール：

　systemctl停止firewalld.service＃停止ファイアウォール

　systemctl無効firewalld.service位ファイアウォール起動を禁止します

パラメータの。1、firwall- CMD：操作は、ファイアウォールのLinuxのために提供するツールです; 2、 - ＃スコープゾーン、ゾーンの概念は、特定のポートのゾーン設定ファイルの特定のために開発することができます　　補足：-zone =場合DMZこのセット、ファイルがdmz.xmlに追加される追加ポートを= 80 - 、3 / TCP＃ ポート/プロトコル：ポートを追加し、フォーマットは4、 -永久：持続的に発現され、永久的ないいえ、このパラメータは、障害発生後に再起動します 

　　4、コンフィギュレーションファイルを介してポートを追加

CDの/ etc / firewalld /ゾーン
vimのpublic.xml

<？xml version = "1.0"エンコード= "UTF-8"？> 
<ゾーン> 
  <短期>公開</ショート> 
  公共エリアでの使用のために<説明>。</記述> 
  <ルールファミリー= "IPv4の"> 
    <ソースアドレス= "122.10.70.234" /> 
    <ポートプロトコル= "UDP"ポート= "514" /> 
    <受け入れる/> 
  </ルール> 
  <ルールファミリ= "のIPv4"> 
    <ソースアドレス= "123.60.255.14" / > 
    <ポートプロトコル= "TCP"ポート= "10050から10051" /> 
    <受け入れる/> 
  </ルール> 
 <ルールファミリー= "IPv4の"> 
    <送信元アドレス= "192.249.87.114" />指定されたIP、指定ポート、プロトコルに置く
    <=ポートプロトコル"TCP"ポート= "80" /> 
    <受け入れる/> 
  </ルール> 
    <受け入れます/> 
スループット任意のアクセスサーバーのIPの9527ポート<ルールファミリー= "IPv4の">
    <ポートプロトコル= "TCP"ポート= "9527" /> 
  </ルール> 
</ゾーン>

 -------------------------------------------------- -------------------------------------------------- --------------------

4、iptablesの構成

 　1は、ファイアウォールのシャットダウン

systemctlストップfirewalld.serviceはSTOPまたはサービスfirewalld 
systemctl無効firewalld.service＃はファイアウォールの起動を禁止します

　2、iptablesのインストール

yumをiptablesの-サービス＃をインストール安装

 　3、編集設定

VI、/ etc / sysconfig / iptables内＃编辑防火墙配置文件

ファイアウォールの設定、システム設定、ファイアウォールによって書かれた
このファイルを手動でカスタマイズお勧めしません。
*フィルタ
：INPUT [0：0] ACCEPT 
：FORWARD [0：0] ACCEPT 
：OUTPUT [0：0] ACCEPT 
-A INPUT -m状態--state ESTABLISHED、関連ACCEPT -j 
-A入力を-p ICMP -j ACCEPT 
-A入力-i LO -j ACCEPT 
NEW --state -A入力-m状態-m TCP -p TCP --dport 21 -j＃必须开启、否则nginxの无法打开ACCEPT 
NEW --state -A INPUT -m状態-m TCP -p TCP --dport 22 -j ACCEPT 
NEW --state -A入力-m状態-m TCP -p TCP --dport 80 -j ACCEPT 
NEW -m TCP --state -A入力-m状態- Pのtcp --dport 3306 -j ACCEPT 
NEW --stateの-A INPUT -m状態を-m udpの-p udpの--dport 8080 -j ACCEPT
--reject-でICMPホスト禁止拒否-j -A INPUT 
-A FORWARD --reject-でICMPホスト禁止REJECT -jが
COMMIT

 　4、ビュー、有効

iptablesの-L＃ルールを有効にするかどうかを確認するために
iptables.serviceを開始またはサービスのiptablesは＃オープン開始systemctl 
systemctlを有効iptables.service＃ファイアウォールの設定ブート

 ゲームオーバー ！