|
|
本帖最后由 myskya 于 2020-3-8 22:36 编辑 ! {: t, ~: Y5 P2 z; T
! n. ^2 q @; A( m
一、启动服务
+ D, X& _' \- _. w% E& _8 s# u如果没有安装,可以使用yum install firewall; a$ e* I' `/ t% t( p
系统默认是已经安装了,但是没有启动
% P- G& ~: [4 `: |' i! v1、开机自启动
. Q. ^* E9 N0 ]& M d( jsystemctl enable firewalld' E; Z9 F; E: c! |' {' L! N; m
2、启动服务
' g* T, m, B9 I0 Ysystemctl start firewalld9 H$ i/ i& H( L6 c) x; j* ~, g3 q
二、向防火墙添加可以外部访问的端口
$ d$ j3 B$ i* p/ W+ {) dfirewall-cmd --zone=public --add-port=80/tcp --permanent
1 m" j9 }1 e$ m* V# X( y以下是常用的端口
* a, A2 S! n6 |. ?firewall-cmd --zone=public --add-port=443/tcp --permanent
* z' G, L( y- ~" ?firewall-cmd --zone=public --add-port=22/tcp --permanent4 w- n) l9 [. b: S; B. \4 ?, e
1、如果需要添加一段端口的话,使用以下命令( y* ` _3 Y1 h; ^3 i! u% O- N; v$ w
firewall-cmd --zone=public --add-port=8000-8100/tcp --permanent3 A' a- y/ H3 Z& N) i
这儿是指添加101个端口" `/ o5 @( S }
三、向防火墙添加相应的服务firewall-cmd --zone=public --add-service=dns --permanent
' W2 z/ q) I" E( @. L( k具体的服务名称在以下路径里有一个文件就是一个service 名称
3 c; }5 P) M" |, q/usr/lib/firewalld/services
! H& F8 Q! W! c, f/ R) [5 K; M( L1 S( _
四、添加完端口之后需要让防火墙生效
9 f( J+ ?. h% j1、重新加载/ t; c2 s8 e y# G0 S. T& [* n9 A; V4 m
firewall-cmd --reload
- A% ]4 ?6 D6 ^0 Y: ~/ S" O& }2、查看当前已经开放的端口
+ ^2 s* S9 W5 t4 efirewall-cmd --list-ports. M' m; ^: h( d1 E- Q7 f
firewall-cmd --list-all; E2 s7 d$ O+ d) a, a
3、删除某个不用的端口
2 ^$ u4 u! E: g$ _; {# H& S2 n5 Qfirewall-cmd --zone=public --remove-port=8084/tcp --permanent# p0 ]) t) m& ?2 ]& s+ l" X- u
注意,这儿删除只是删除一条规则,我上面加的8000-8100,其实还是可以访问8084这个端口的+ `# u7 N$ b& \
u7 k6 D4 g4 \! F$ {
( V1 P7 h: l/ h7 ]; s
) R/ O6 ?/ o5 O, S/ z: J其他常用命令! t: x# d. T8 z8 T7 j0 ?! w, k7 A; }
& v- L! Q, D+ E; Y7 o7 ~, Y7 k
# { E8 M: k& o* x- firewall-cmd --list-all-zones #查看所有的zone信息& I: q3 x8 A! `- v: t6 P6 K* {
- firewall-cmd --get-default-zone #查看默认zone是哪一个
8 K3 P) U' \; s+ ^& Q - firewall-cmd --zone=internal --change-zone=p3p1 #临时修改接口p3p1所属的zone为internal
+ r6 i# Y! Z9 f K7 Q$ R0 l - firewall-cmd --add-service=http #暂时开放http
, I3 }( Z3 e# T+ o9 B/ l3 a/ G - firewall-cmd --permanent --add-service=http #永久开放http% |1 m, J! ~5 N, {; ^) p# D7 Y
- firewall-cmd --zone=public --add-port=80/tcp --permanent #在public中永久开放80端口/ r0 |5 ?. x7 x
- firewall-cmd --permanent --zone=public --remove-service=ssh #从public zone中移除服务% J2 t! _: o" y3 B# h7 k3 Y
- firewall-cmd --reload #重新加载配置! Q1 ^/ \2 s- P
- systemctl restart firewalld #重启firewalld服务,使配置生效/可查
复制代码 * k7 v' |/ g" U: ]
' {# Z+ `1 ~' ]; Z3 G
. E+ g( V; S# D8 G5 n
1 d) h6 b1 x x F6 D5 R6 M7 f$ p& e4 c3 [# v& P1 G
4 b% h) O2 s; g E6 o* y9 h2 @* s- s4 m1 L3 T
) ~! W: h3 ~0 w' C7 G. o. l9 ] ]
1 _4 c$ `' U Y# |- I6 C
+ j4 o0 t- W o3 A$ r1 }
9 O: N7 t5 O7 O- w, y( b8 b+ `# L5 l4 C/ @4 o
|
|