Wenn Sie Anwendungen in CentOS extern bereitstellen, müssen Sie eine Firewall-Verwaltungssoftware verwenden, Ports öffnen oder die Firewall direkt schließen, um das Problem zu lösen (nicht empfohlen).
Häufig verwendete Befehle:
systemctl start firewalld #Starten Sie
systemctl stop firewalld #Stoppen Sie
systemctl status firewalld #Anzeigen des Status
systemctl disable firewalld #Boot deaktivieren
systemctl enable firewalld #Boot starten
Öffnen oder schließen Sie den Port:
firewall-cmd --zone=public --add-port=80/tcp --permanent #Open 80/tcp port (--permanent wird dauerhaft wirksam und schlägt nach einem Neustart ohne diesen Parameter fehl) Firewall -cmd
--zone =public --query-port=80/tcp #80/tcp-Port anzeigen
firewall-cmd --zone=public --remove-port=80/tcp --permanent #80/tcp-Port schließen
Ports stapelweise öffnen oder schließen:
firewall-cmd --zone=public --add-port=40000-45000/tcp --permanent #Ports stapelweise öffnen, alle Ports von 40000 bis 45000 öffnen
firewall-cmd --zone= public --list-ports #Alle offenen Ports im System anzeigen
firewall-cmd --zone=public --remove-port=40000-45000/tcp --permanent #Ports stapelweise schließen, alle Ports von 40000 bis 45000 schließen
Aktualisieren Sie die Firewall-Einstellungen:
firewall-cmd --reload #Aktualisieren Sie die Firewall-Einstellungen, damit die oben genannten Änderungen wirksam werden
Betriebsbefehlsinstallation der CentOS7-Firewall (Firewall)
: yum install firewalld
1, die grundlegende Verwendung von firewalld
Start: systemctl start firewalld
Status anzeigen: systemctl status firewalld
Deaktivieren, Booten verbieten: systemctl discover firewalld
Stoppen Sie die Ausführung: systemctl stop firewalld
2. Konfigurieren Sie firewalld-cmd
Überprüfen Sie die Version: firewall-cmd --version
Hilfe anzeigen: firewall-cmd --help
Status anzeigen: firewall-cmd --state
Alle offenen Ports anzeigen: firewall-cmd --zone=public --list-ports
Firewallregeln aktualisieren: firewall-cmd --reload
Aktualisieren Sie die Firewall-Regeln und starten Sie den Dienst neu: firewall-cmd --completely-reload
Informationen zur aktivierten Zone anzeigen: firewall-cmd --get-active-zones
Die Zone anzeigen, zu der die angegebene Schnittstelle gehört: firewall-cmd --get-zone-of-interface=eth0
Alle Pakete ablehnen: firewall-cmd --panic- beim
Abbrechen Ablehnungsstatus: firewall-cmd --panic-off
Überprüfen Sie, ob es abgelehnt wurde: firewall-cmd --query-panic
3. Vertrauensstufe, angegeben durch den Wert von Zone
drop: alle eingehenden Pakete verwerfen, ohne eine Antwort zu geben.
block: alle extern initiierten Verbindungen ablehnen, intern initiierte Verbindungen zulassen.
public: bestimmte eingehende Verbindungen zulassen.
external: wie oben, zum Maskieren eingehender Verbindungen, allgemein für Routing und Weiterleitung verwendet.
dmz: Eingeschränkte eingehende Verbindungen zulassen Verbindungen
funktionieren: Eingeschränkte eingehende Verbindungen von vertrauenswürdigen Computern zulassen, ähnlich wie bei der Heimnetzgruppe
: Wie oben, ähnlich wie bei der Heimnetzgruppe
intern: Wie oben, Geltungsbereich für alle Internetbenutzer
. Vertrauenswürdig: Allen Verbindungen vertrauen
4. Die Firewall öffnet und schließt den Port
Das Folgende bezieht sich auf den Vorgang unter der öffentlichen Zone. Durch Ändern des Werts hinter der Zone können verschiedene Zonen hinzugefügt werden :
firewall-cmd --zone=public --add-port=80/tcp --permanent (-permanent wird dauerhaft wirksam , ohne diesen Parameter schlägt es nach dem Neustart fehl)
Neu laden:
firewall-cmd --reloadView
:
firewall-cmd --zone=public --query-port=80/tcpDelete
:
firewall-cmd --zone=public --remove - port=80/tcp --permanent
5. Verwaltungsdienste
Nehmen Sie als Beispiel den SMTP-Dienst und fügen Sie ihn zur Arbeitszone hinzu
:
firewall-cmd --zone=work --add-service=smtp
Ansicht:
firewall-cmd --zone=work --query-service=smtp
Antwort:
firewall-cmd --zone=work --remove-service=smtp
5. Konfigurieren Sie die IP-Adressmaskierung
Antwort:
firewall-cmd --zone=external --query-masquerade.
Hinweis:
firewall-cmd --zone=external --add-masquerade. Schritt
:
firewall-cmd --zone=external --remove-masquerade
6. Portweiterleitung
Um die Portweiterleitung zu aktivieren, müssen Sie zunächst die IP-Adressmaskierung aktivieren:
firewall-cmd --zone=external --add-masquerade
TCP-Port 22 an 3753 weiterleiten:
firewall-cmd --zone=external --add-forward-port= 22:porto =tcp:toport=3753
Portdaten an denselben Port einer anderen IP weiterleiten:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
Portdaten weiterleiten zu einem anderen 3753-IP-Port:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp::toport=3753:toaddr=192.168.1.112
6. systemctl ist das Haupttool im Dienstverwaltungstool von CentOS7, das die Funktionen des vorherigen Dienstes und von chkconfig in einem integriert
Starten Sie einen Dienst: systemctl start firewalld.service.
Schließen Sie einen Dienst: systemctl stop firewalld.service.
Starten Sie einen Dienst neu: systemctl restart firewalld.service.
Zeigen Sie den Status eines Dienstes an: systemctl status firewalld.service.
Aktivieren Sie einen Dienst beim Booten: systemctl enable firewalld. service
Deaktivieren Sie einen Dienst beim Booten: systemctl disable firewalld.service
Überprüfen Sie, ob der Dienst gestartet wird: systemctl is-enabled firewalld.service
Überprüfen Sie die Liste der aktivierten Dienste: systemctl list-unit-files|grep aktiviert
Überprüfen Sie die Liste der Dienste, die nicht gestartet werden konnten : systemctl - -failed