1、检查防护墙的状态
firewall-cmd --state 或 systemctl status firewalld active (running)–>说明防火墙已打开;
inactive (dead)–>说明防火墙已关闭。
2、开关防火墙
# 启动防火墙
systemctl start firewalld.service
# 重启防火墙
systemctl restart firewalld.service
# 关闭防火墙
systemctl stop firewalld.service
# 启用防火墙启动设置
systemctl enable firewalld.service
# 禁止设置禁止启动的防火墙
systemctl disable firewalld.service
# 设置启动自启动
systemctl enable firewalld3、开放或限制服务器端口
(1)检查防火墙端口
# 检查开放端口
firewall-cmd --list-ports
# 查询防火墙的所有规则
firewall-cmd --list-all (2)打开或限制端口
# 开放80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
# 关闭80端口
firewall-cmd -zone=public --remove-port=80/tcp --permanent
# 配置立即生效
firewall-cmd --reload 备注:
–zone #作用域
–add-port=80/tcp #添加端口的格式如下:端口/通信协议
–permanent #无此参数ze重启后永久生效
(3)端口扩展操作
# 检查监控端口
netstat -tunlp
# 注:在默认情况下,centos7没有netstat命令,需要安装net-tols工具,yum install -y net-tools
# 检查端口占用了哪个过程?
netstat -lnpt | grep 80
# 查看过程的详细信息
ps 6832
# 中止进程
kill -9 6832 4、服务器配置访问白名单
# 查看战略列表
firewall-cmd --list-rich-rule 访问白名单可以通过两种方式设置:命令行操作或修改配置文件。
(1)命令行操作
# 只允许指定IP段访问服务器22端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address=“指定IP或IP段” port protocol="tcp" port="22" accept'
# 允许指定IP段访问服务器的所有端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address=“指定IP或IP段” accept'
# 重载后执行
firewall-cmd --reload (2)修改配置文件
# 1.进入配置文件目录,编辑配置文件
cd /etc/firewalld/zones
vim public.xml
# 2.将内容添加到配置文件中,然后重启防火墙
<rule family="ipv4">
<source address=指定IP或ip段”/>
<port protocol="tcp" port="22"/>
<accept/>
</rule>5、服务访问配置
# 查询服务
firewall-cmd --list-service
# 列出放行服务
firewall-cmd --get-services
# 检查ftp服务是否支持(返回yes或no)
firewall-cmd --query-service ftp
# 永久删除ftp服务
firewall-cmd --permanent --remove-service=ftp
# ftp服务将永久开放
firewall-cmd --permanent --add-service=ftp
# 临时开放ftp服务
firewall-cmd --add-service=ftp6、扩展
# zone列出支持
firewall-cmd --get-zones
# 查看帮助
man firewall-cmd 创作不容易,喜欢支持!
爱极客专注于分享httpssss://www.iigeek.com
© 版权声明
THE END
暂无评论内容