CentOS 7中使用的防火墻為firewall，在CentOS 6.5中在iptables防火墻中進(jìn)行了升級(jí)了。

• 用于實(shí)現(xiàn)持久的網(wǎng)絡(luò)流量規(guī)則。
• 可以動(dòng)態(tài)修改單條規(guī)則，動(dòng)態(tài)管理規(guī)則集，允許更新規(guī)則而不破壞現(xiàn)有會(huì)話和連接
• 使用區(qū)域(zone)和服務(wù)(service)
• 默認(rèn)是拒絕的，需要設(shè)置以后才能放行

CentOS 7放行端口需要在云服務(wù)器管理后臺(tái)和服務(wù)器firewall同時(shí)設(shè)置才有效！注意默認(rèn)全部拒絕！管理后臺(tái)通過(guò)權(quán)限組添加規(guī)則。

配置目錄

/usr/lib/firewalld/services 目錄中存放定義好的網(wǎng)絡(luò)服務(wù)和端口參數(shù)，系統(tǒng)參數(shù)。配置時(shí)引用服務(wù)名稱

1564993293.jpg

/etc/firewalld/為配置目錄，使用區(qū)域在zones下

1564993463.jpg

常用命令

firewall-cmd：是Linux提供的操作firewall的一個(gè)工具。

（1）firewalld服務(wù)啟動(dòng)、關(guān)閉、重啟，設(shè)置開機(jī)自啟

# 啟動(dòng)
systemctl start firewalld  

# 關(guān)閉
systemctl stop firewalld  
  
# 重啟
systemctl restart firewalld    

# 開機(jī)啟動(dòng)       
systemctl enable firewalld  
      
# 取消開機(jī)啟動(dòng)
systemctl disable firewalld 
      
# 查看是否開機(jī)自啟
systemctl is-enabled firewalld

（2）添加端口/服務(wù)。用戶可以通過(guò)修改配置文件的方式添加端口，也可以通過(guò)命令的方式添加端口，注意，修改的內(nèi)容會(huì)在/etc/firewalld/ 目錄下的配置文件中還體現(xiàn)。例如在public區(qū)域添加tcp端口8020

firewall-cmd --zone=public --permanent --add-port=8010/tcp

• --permanent：表示設(shè)置為持久；
• --add-port：標(biāo)識(shí)添加的端口；

可以在/etc/firewalld/zones/public.xml中看見(jiàn)已經(jīng)添加成功。

1564993818.jpg

這個(gè)配置文件也可以手動(dòng)修改，如添加服務(wù)

vi /etc/firewalld/zones/public.xml
i
加入 <service name="mysql"/>

1564994075.jpg

也可以通過(guò)--add-service添加，

firewall-cmd --permanent --zone=public --add-service=mysql

重載可生效firewall-cmd --reload。

（3）查看規(guī)則

firewall-cmd --list-all

1564994718.jpg

（4）其它

# 查看防火墻狀態(tài)
firewall-cmd --state 

# 查看默認(rèn)的域
firewall-cmd --get-default-zone

# 查看所有的域
firewall-cmd --get-zones

# 查看所有域的信息
firewall-cmd --list-all-zones

# 查看指定域的信息
firewall-cmd --zone=public --list-all

# 查看可以添加的服務(wù)
firewall-cmd --get-services

# 設(shè)置指定域?yàn)槟J(rèn)域
firewall-cmd --set-default-zone=public

原文鏈接