firewalld简介
firewalld安装
区域zone概念
firewall-cmd命令工具
将网卡添加到区域,默认网卡都在public
开放指定端口
使更改生效
firewalld简介
Centos从7.0版本开始系统默认使用firewalld防火墙,firewalld支持动态更新,无需重启服务即好完成配置,新增区域“zone”概念。
firewalld的字符界面管理工具是 firewall-cmd
firewalld默认配置文件/etc/firewalld/firewalld.conf
firewalld安装
yum install firewalld firewall-config #安装systemctl start firewalld.service #启动systemctl enable firewalld.service #启用systemctl stop firewalld.service #停止systemctl disable firewalld.service #禁用
区域zone概念
firewalld系统默认存在以下区域:
drop: 默认丢弃所有包
block: 拒绝所有外部连接,允许内部发起的连接
public: 指定外部连接可以进入
external: 这个不太明白,功能上和上面相同,允许指定的外部连接
dmz: 和硬件防火墙一样,受限制的公共连接可以进入
work: 工作区,概念和workgoup一样,也是指定的外部连接允许
home: 类似家庭组
internal: 信任所有连接
firewall-cmd命令工具
firewall-cmd --state # 显示状态firewall-cmd --get-active-zones # 查看区域信息firewall-cmd --get-zone-of-interface=eth0 #查看指定网卡所属* 区域 正常为eth0,阿里云ECS为ech1 可用ifconfig查看
将网卡添加到区域,默认网卡都在public
firewall-cmd --zone=public --permanent --add-interface=eth0 #正常firewall-cmd --zone=public --permanent --add-interface=eth1 #阿里云ECS服务器firewall-cmd --set-default-zone=public #设置默认区域
开放指定端口
firewall-cmd --zone=public --add-port=80/tcp #开放80端口到public区域 重启生效firewall-cmd --zone=public --add-port=8080/tcp #开放8080端口到public区域 重启生效
使更改生效
mportant;">firewall-cmd --reload #无需断开已连接的TCP连接 “热重启”firewall-cmd --complete-reload #需要断开连接已连接的TCP连接 “冷重启”