CentOS系统防火墙(firewalld)基础设置指南
CentOS 7及以上版本默认使用firewalld作为防火墙管理工具,支持动态规则调整、区域化控制和持久化配置。以下是常见操作的详细步骤:
若系统未预装firewalld,可通过以下命令安装:
sudo yum install firewalld -y
安装完成后,启动服务并设置为开机自启:
sudo systemctl start firewalld # 启动firewalld
sudo systemctl enable firewalld # 开机自动启动
sudo systemctl status firewalld
sudo firewall-cmd --get-default-zone
public(适用于公共网络环境)。sudo firewall-cmd --get-active-zones
若需允许外部访问特定端口(如HTTP的80端口、HTTPS的443端口),可使用以下命令:
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp # 开放HTTP端口
sudo firewall-cmd --permanent --zone=public --add-port=443/tcp # 开放HTTPS端口
说明:--permanent表示规则永久生效,需配合--reload命令使更改立即生效。
firewalld内置了常见服务(如SSH、FTP、MySQL)的规则,可直接开放服务而非手动指定端口:
sudo firewall-cmd --permanent --zone=public --add-service=ssh # 开放SSH服务(22端口)
sudo firewall-cmd --permanent --zone=public --add-service=http # 开放HTTP服务
sudo firewall-cmd --permanent --zone=public --add-service=https # 开放HTTPS服务
若需限制仅特定IP可访问服务器(如运维人员的管理IP),可使用rich-rule:
sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.100' accept" # 允许单个IP
sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' accept" # 允许IP段
若需屏蔽恶意IP,可使用reject规则:
sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.1.200' reject" # 禁止单个IP
修改规则后,必须执行以下命令使更改生效:
sudo firewall-cmd --reload
注意:--reload不会中断现有连接,仅应用新规则;若需彻底重置防火墙,可使用sudo firewall-cmd --complete-reload(会中断现有连接)。
sudo firewall-cmd --list-ports
sudo firewall-cmd --list-services
sudo firewall-cmd --list-all
若需临时关闭防火墙(不推荐生产环境使用):
sudo systemctl stop firewalld
若需永久禁用防火墙(关闭开机自启):
sudo systemctl disable firewalld
--reload命令,或检查是否有其他防火墙工具(如iptables)冲突。netstat -tulnp | grep 端口号检查),并检查SELinux是否阻止访问(可通过setenforce 0临时关闭SELinux测试)。通过以上步骤,可完成CentOS系统防火墙的基本配置,保障系统安全的同时允许合法流量访问。