CentOS防火墙设置指南

在CentOS系统中，firewalld是一个常用的防火墙管理工具，它提供了灵活的方式来配置和管理防火墙规则。以下是一个基本的CentOS防火墙设置指南。

安装firewalld

如果系统尚未安装firewalld，可以使用以下命令进行安装：

sudo yum install firewalld firewalld-config

基本操作

• 启动防火墙：

sudo systemctl start firewalld

• 查看防火墙状态：

sudo systemctl status firewalld

• 开机启动：

sudo systemctl enable firewalld

• 停止防火墙：

sudo systemctl stop firewalld

• 禁用防火墙：

sudo systemctl disable firewalld

配置防火墙

1. 查看区域信息

sudo firewall-cmd --get-active-zones

2. 查看指定接口所属区域

sudo firewall-cmd --get-zone-of-interface=eth0

3. 拒绝所有包

sudo firewall-cmd --panic-on

4. 取消拒绝状态

sudo firewall-cmd --panic-off

5. 查看是否拒绝

sudo firewall-cmd --query-panic

端口操作

• 查询打开的端口：

sudo firewall-cmd --zone=public --list-ports

• 关闭端口：

sudo firewall-cmd --zone=public --remove-port=9001/tcp --permanent
sudo firewall-cmd --reload

• 重新载入防火墙设置：

sudo firewall-cmd --reload

• 开放或限制端口：

# 开放9001端口
sudo firewall-cmd --zone=public --add-port=9001/tcp --permanent
sudo firewall-cmd --reload

# 查询9001是否生效
sudo firewall-cmd --zone=public --query-port=9001/tcp

• 批量开放端口：

sudo firewall-cmd --zone=public --add-port=9002-9005/tcp --permanent
sudo firewall-cmd --reload

开放或限制IP

• 开放IP为192.168.0.0的地址允许访问9001端口：

sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0" port protocol="tcp" port="51888" accept"
sudo firewall-cmd --reload

• 限制IP为192.168.0.0的地址禁止访问9001端口：

sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0" port protocol="tcp" port="9001" reject"
sudo firewall-cmd --reload

• 删除已设置规则：

sudo firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.0.0" port protocol="tcp" port="9001" accept"
sudo firewall-cmd --reload

直接修改配置文件

除了命令方式外，可以直接修改firewalld的配置文件：

sudo vi /etc/firewalld/zones/public.xml

请注意，修改配置文件后，通常需要重新加载防火墙设置以使更改生效：

sudo firewall-cmd --reload

以上步骤提供了在CentOS系统中设置和管理firewalld防火墙的基本指南。根据具体需求，您可能需要进一步调整和优化防火墙规则。