一. Centos7与Centos6防火墙的区别:
使用的工具不同。 Centos6使用iptables,而Centos7使用文件墙
iptables用于过滤数据包,属于网络层防火墙。
防火墙属于更高级别的防火墙,哪些服务可用以及哪些端口可用.
二.常用命令:
vim/usr/lib/firewall d/services/ssh.XML
vim/usr/lib/firewall d/services/http.XML
systemctlenablefirewalld.service
systemctlrestartfirewalld.service
防火墙- cmd--状态显示状态
firewall-cmd--列表- all显示过滤的列表信息
在firewall-cmd---zone=public---permanent---add-port=8502/TCP中添加协议进行TCP的8502端口过滤
vim/etc/firewall d/zones/public.XML
systemctlrestartfirewalld.service
三.防火墙配置
配置介绍:
theconfigurationforfirewalldisstoredinvariousxmlfiles
in/usr/lib/firewall dand/etc/firewall d
thisallowsagreatdealofflexibilityasthefilescanbeedited,written to,backed up,usedastemplatesforotherinstallationsandson。
firewalld的配置存储在各种XML文件中
在/usr/lib/firewalld和/etc/firewalld中
这使您可以编辑、写入、备份文件、将其用作其他安装的模板等,因此非常灵活。
注意:以下防火墙d操作仅在重新启动后有效。 服务防火墙重新开始
1、系统配置目录(/usr/lib/firewalld/services )。
此目录包含定义的网络服务、端口参数和系统参数,且不能更改。
image.png
2、用户配置目录(/etc/firewalld/) )。
image.png
3、如何定制附加端口
用户可以修改配置文件以添加端口,也可以使用命令添加端口。 注:您所做的更改将反映在/etc/firewalld/目录中的配置文件中。
3.1、命令添加端口:
firwall-cmd---- permanent---- add-port=9527/TCP
参数介绍:
1、防火墙- cmd:Linux提供的操作防火墙的工具;
2、--permanent :表示设置为永久
3、--add-port :标识添加的端口;
另外,firewall有Zone的概念,可以在具体的Zone配置文件中制作具体的端口。
例如,添加8010端口
firewall-cmd---zone=public---permanent---add-port=8010/TCP
--zone=public :指定的zone为public;
如果设置为--zone=dmz,则会在dmz.xml文件中添加一个。
3.2、修改配置文件方法添加端口
公共
For use in public areas。
输入指定ip,指定端口、协议
放入任何ip访问服务器的9527端口
上述配置文件之一非常清楚地表明:
1、添加必要的规则。 开放源代码ip包括122.10.70.234、端口514、协议tcp;
2、开放源代码ip为123.60.255.14、端口10050-10051、协议tcp;
3、开源ip可选,端口9527、协议tcp;
四.防火墙常用命令
1、重新启动、关闭、打开、firewalld.serverice服务
服务防火墙重新启动
将打开服务防火墙开始
关闭服务防火墙d stop
查看系统状态文件d状态
系统停止防火墙d关闭
将打开系统开始固件d
系统重新开始固件d重新启动
关闭系统禁用文件d的电源并启动
2、观察状态
firewall-cmd --state
3、查看防火墙规则
firewall-cmd----list-all
五. Centos切换为iptables防火墙
提示:要切换到iptables,必须首先关闭缺省firewalld,然后安装iptables服务。
1、关闭防火墙:
systemctl stop firewalld.service
systemctldisablefirewalld.service #禁止启动文件
2、设置iptables防火墙:
yum install iptables-services #安装
3、编辑iptables防火墙配置:
编辑vim /etc/sysconfig/iptables #防火墙配置文件
以下是完整的配置文件:
firewallconfigurationwrittenbysystem-config-firewallmanualcustomizationofthisfileisnotrecommended。
* filter : input accept [ 0:0 ] :向前访问[ 0:0 ] : output accept [ 0:0 ] - a input-mstate-state ept related-j accept-a input-pic MP-j accept-a input-ILO-j accept-a input-mstate-stenew - j accept-a input-mstate-- statenew-mtcp-ptcp-dport 3306-j accept-ain port MP-host-prohibited-aforward-j rejp
:wq! #保存结束
将打开服务iptables start或systemctlstartiptables.service #
systemctlenableiptables.service #打开配置防火墙并启动