방화벽 구성
참고 : 다음 작업을 다시 시작 firewalld 후에 만 유효 : 서비스 firewalld 다시 시작 다시 시작
- 시스템 구성 디렉토리
/usr/lib/firewalld/services
정의 된 네트워크 서비스 및 포트 매개 변수, 시스템 매개 변수를 수정할 수 없습니다 수있는 디렉토리입니다.
- 사용자 구성 디렉토리
/etc/firewalld/
- 포트 사용자 정의 추가하는 방법을
사용자가 방법의 설정 파일을 수정하여 포트를 추가 할 수 있습니다, 당신은 또한도 / 등은 / firewalld / 디렉토리의 구성 파일에 반영되는 내용을 수정하는 명령, 관심을 지불의 방법으로 포트를 추가 할 수 있습니다.
- 포트-명령을 추가
firewall-cmd --permanent --add-port=9527/tcp
매개 변수 설명 :
1、firewall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;
또한, 특정 영역의 구성 파일에 특정 포트를 개발할 수의 개념 영역 방화벽.
예를 들어 포트 8010를 추가
firewall-cmd --zone=public --permanent --add-port=8010/tcp
--zone=public:指定的zone为public;
[root@app-test zones]# more public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="8082"/>
<port protocol="tcp" port="8080"/>
<port protocol="tcp" port="8081"/>
</zone>
-zone = 만약이 세트 DMZ, 그것은 dmz.xml 파일에 추가됩니다.
- 포트 수정 구성 파일을 추가
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas.</description>
<rule family="ipv4">
<source address="122.10.70.234"/>
<port protocol="udp" port="514"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="123.60.255.14"/>
<port protocol="tcp" port="10050-10051"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="192.249.87.114"/> 放通指定ip,指定端口、协议
<port protocol="tcp" port="80"/>
<accept/>
</rule>
<rule family="ipv4"> 放通任意ip访问服务器的9527端口
<port protocol="tcp" port="9527"/>
<accept/>
</rule>
</zone>
좋은 프로필보다도 볼 수 있습니다 :
1、添加需要的规则,开放通源ip为122.10.70.234,端口514,协议tcp;
2、开放通源ip为123.60.255.14,端口10050-10051,协议tcp;/3、开放通源ip为任意,端口9527,协议tcp;
일반적으로 사용되는 명령을 방화벽
- 다시 시작, 종료, 회전 firewalld.service 서비스
service firewalld restart 重启
service firewalld start 开启
service firewalld stop 关闭
- 방화벽 서비스 상태보기
systemctl status firewall
- 방화벽의 상태를보기
firewall-cmd --state
- 보기 방화벽 규칙
firewall-cmd --list-all
[root@app-test firewalld]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp8s0
sources:
services: ssh dhcpv6-client
ports: 8082/tcp 8080/tcp 8081/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
CentOS는 iptables를 방화벽으로 전환
iptables에 먼저 기본 firewalld을 끈 다음 iptables 서비스를 설치 전환해야합니다.
- 닫기 방화벽
service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动
- 설치의 iptables 방화벽
yum install -y iptables-services #安装
- 편집의 iptables 방화벽 구성
vi /etc/sysconfig/iptables #编辑防火墙配置文件
다음은 전체 구성 파일은 다음과 같습니다
Firewall configuration written by system-config-firewall
Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
: WQ # 저장하고 종료
service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动
열린 포트 서비스에 사용 INPUT 명령
iptables -I INPUT -p tcp --dport 8011 -j ACCEPT #开启8011端口
/etc/rc.d/init.d/iptables save #保存配置
/etc/rc.d/init.d/iptables restart #重启服务
/etc/init.d/iptables status #查看端口是否已经开放