CentOS虚拟机防火墙配置指南(以firewalld为核心)
firewalld是CentOS 7及以上版本的默认防火墙管理工具,支持动态规则调整、区域划分和服务管理,以下是详细配置步骤:
若系统未预装firewalld,需先通过包管理器安装:
sudo yum install firewalld -y # CentOS 7/8使用yum;CentOS Stream 9+可使用dnf
安装完成后,启动firewalld服务并设置开机自启:
sudo systemctl start firewalld # 启动服务
sudo systemctl enable firewalld # 开机自动启动
确认服务是否运行正常:
sudo systemctl status firewalld # 查看服务状态(显示"active (running)"即为运行中)
firewall-cmd --state # 快速查看防火墙状态(running/ not running)
firewalld通过**区域(Zone)**管理不同网络环境的规则,默认区域为public(适用于公共网络)。常见操作包括:
firewall-cmd --get-default-zone
home,适用于家庭网络):sudo firewall-cmd --set-default-zone=home
firewall-cmd --get-zones
例如,开放TCP协议的80端口(HTTP)和443端口(HTTPS):
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
若需临时测试,可省略--permanent参数:
sudo firewall-cmd --zone=public --add-port=8080/tcp
sudo firewall-cmd --list-ports # 列出所有开放端口
sudo firewall-cmd --zone=public --list-all # 查看public区域的详细规则(含端口、服务)
firewalld内置了常见服务(如SSH、HTTP、HTTPS)的规则,可直接添加服务名称,比开放端口更便捷:
sudo firewall-cmd --zone=public --add-service=ssh --permanent # 允许SSH登录
sudo firewall-cmd --zone=public --add-service=http --permanent # 允许HTTP访问
sudo firewall-cmd --zone=public --add-service=https --permanent # 允许HTTPS访问
添加后需重载配置:
sudo firewall-cmd --reload
例如,删除TCP 8080端口:
sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
例如,删除SSH服务:
sudo firewall-cmd --zone=public --remove-service=ssh --permanent
删除后同样需要重载配置:
sudo firewall-cmd --reload
firewall-cmd --get-services
sudo firewall-cmd --set-default-zone=drop
sudo systemctl stop firewalld
sudo systemctl disable firewalld
sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables
--permanent参数确保规则重启后仍有效,临时规则需省略该参数但会在重启后失效。通过以上步骤,可完成CentOS虚拟机防火墙的基本配置,根据实际需求调整区域、端口和服务规则,保障系统安全。