centosstream9防火墙配置保存

*** 作系统

为CentOS系统配置防火墙设置

weixin_30649859

转载

关注

0点赞·37人阅读

 

在各种 *** 作系统中，为了保护系统在网络中是相对安全的，我们通常都会给 *** 作系统配置防火墙，通过配置防火墙来限定哪些流量可以进来，哪些流量可以出去，通过这样的一种方式，可以有效的管理系统的流量，从一定程度上保证系统的安全。

下面襄阳网站优化就来讲讲 CentOS 这款常用的服务器 *** 作系统的防火墙配置情况：

在CentOS 系列的系统中，CentOS_7.x以上默认firewall为防火墙配置，为了解决防火墙安全这个问题，我们使用iptables配置 来代替原有的 firewall 配置。

一、首先查看默认防火墙状态

1firewall-cmd --state

(关闭后显示not running，开启后显示running)

如果 firewall 正在运行，那么我们先将它关闭，命令如下：

1

2systemctl stop firewalld.service

systemctl disable firewalld.service

下面在给大家提供一些关于默认firewlall防火墙的 *** 作指令：

添加: firewall-cmd –zone=public –add-port=80/tcp –permanent (–permanent永久生效，没有此参数重启后失效)

重载: firewall-cmd –reload

查看: firewall-cmd –zone=public –query-port=80/tcp

删除: firewall-cmd –zone= public –remove-port=80/tcp –permanent

二、配置 iptables 规则

在配置iptables前，我们需要安装iptables服务：

1yum install iptables-services

安装好后，开始编辑这个防火墙配置文件，该文件存放在 /etc/sysconfig/iptables 目录中：

1vim /etc/sysconfig/iptables

加入以下代码：

-A INPUT -p tcp -m state –state NEW

1、关闭 firewalld

由于 firewalld 是 CentOS-7系列的默认防火墙，因此如果想使用iptables的话，需要将CentOS-7系列的默认防火墙 firewalld 关闭，并安装 iptables-services 

[root@shell ~]#

[root@shell ~]# systemctl  stop  firewalld.service            #关闭

[root@shell ~]# systemctl  disable  firewalld.service        #禁止开机自启动

[root@shell ~]# firewall-cmd  --state          #查看firewalld是否在运行

not  running

[root@shell ~]#

2、安装iptables防火墙

[root@shell ~]#

[root@shell ~]# yum install iptables-services                  #安装iptables服务

[root@shell ~]# systemctl  start  iptables

[root@shell ~]# systemctl  enable  iptables                      #设置iptables为开机自启动

[root@shell ~]#

[root@shell ~]# cat  /etc/sysconfig/iptables            #查看iptables默认配置

[root@shell ~]# 

[root@shell ~]#

[root@shell ~]# systemctl  start  iptables             #启动 iptables

[root@shell ~]# systemctl  status  iptables            #查看状态

[root@shell ~]#

[root@shell ~]# iptables  -L                  #查看当前防火墙规则

3、配置防火墙规则

centos 7 和 redhat 7 一样，用firewalld代替了旧版本的 iptables。

新的防火墙管理命令firewall-cmd与图形化工具firewall-config。

Firewalld服务是红帽RHEL7系统中默认的防火墙管理工具，特点是拥有运行时配置与永久配置选项且能够支持动态更新以及"zone"的区域功能概念，使用图形化工具firewall-config或文本管理工具firewall-cmd，下面实验中会讲到~

8.3.1 区域概念与作用

防火墙的网络区域定义了网络连接的可信等级，我们可以根据不同场景来调用不同的firewalld区域，区域规则有：

编辑

区域默认规则策略

trusted允许所有的数据包。

home拒绝流入的数据包，除非与输出流量数据包相关或是ssh,mdns,ipp-client,samba-client与dhcpv6-client服务则允许。

internal等同于home区域

work拒绝流入的数据包，除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。

public拒绝流入的数据包，除非与输出流量数据包相关或是ssh,dhcpv6-client服务则允许。

external拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。

dmz拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。

block拒绝流入的数据包，除非与输出流量数据包相关。

drop拒绝流入的数据包，除非与输出流量数据包相关。

简单来讲就是为用户预先准备了几套规则集合，我们可以根据场景的不同选择合适的规矩集合，而默认区域是public。

8.3.2 字符管理工具

如果想要更高效的配置妥当防火墙，那么就一定要学习字符管理工具firewall-cmd命令,命令参数有：

编辑

参数作用

--get-default-zone查询默认的区域名称。

--set-default-zone=<区域名称> 设置默认的区域，永久生效。

--get-zones显示可用的区域。

--get-services显示预先定义的服务。

--get-active-zones显示当前正在使用的区域与网卡名称。

--add-source=将来源于此IP或子网的流量导向指定的区域。

--remove-source=不再将此IP或子网的流量导向某个指定区域。

--add-interface=<网卡名称> 将来自于该网卡的所有流量都导向某个指定区域。

--change-interface=<网卡名称> 将某个网卡与区域做关联。

--list-all显示当前区域的网卡配置参数，资源，端口以及服务等信息。

--list-all-zones显示所有区域的网卡配置参数，资源，端口以及服务等信息。

--add-service=<服务名> 设置默认区域允许该服务的流量。

--add-port=<端口号/协议> 允许默认区域允许该端口的流量。

--remove-service=<服务名> 设置默认区域不再允许该服务的流量。

--remove-port=<端口号/协议> 允许默认区域不再允许该端口的流量。

--reload让“永久生效”的配置规则立即生效，覆盖当前的。

以上摘抄自，可以访问查看详情：http://www.linuxprobe.com/chapter-08.html#83_Firewalld

---