конфигурация брандмауэра
Примечание: действует только после того, как выполняются следующие операции firewalld перезагрузка: служба firewalld перезагрузка перезагрузка
- Каталог конфигурации системы
/usr/lib/firewalld/services
Каталог, где в определенные сетевые службы и параметры порта, параметры системы не могут быть изменены.
- Каталог конфигурации пользователя
/etc/firewalld/
- Как добавить пользовательский порт
пользователи могут добавлять порты путем изменения файла конфигурации пути, вы можете также добавить порты посредством команды, обратите внимание , чтобы изменить содержание также находит свое отражение в файлах конфигурации в / и т.д. / firewalld / каталог.
- Добавьте порт-команду
firewall-cmd --permanent --add-port=9527/tcp
Параметр Описание:
1、firewall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;
Кроме того, брандмауэр зоны в концепции, вы можете разработать конкретный порт в файл конфигурации конкретной зоны.
Например: Добавление порта 8010
firewall-cmd --zone=public --permanent --add-port=8010/tcp
--zone=public:指定的zone为public;
[root@app-test zones]# more public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="8082"/>
<port protocol="tcp" port="8080"/>
<port protocol="tcp" port="8081"/>
</zone>
Если -zone = ДЗ этого набора, он будет добавлен в файле dmz.xml.
- Добавление порта изменения файлов конфигурации
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas.</description>
<rule family="ipv4">
<source address="122.10.70.234"/>
<port protocol="udp" port="514"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="123.60.255.14"/>
<port protocol="tcp" port="10050-10051"/>
<accept/>
</rule>
<rule family="ipv4">
<source address="192.249.87.114"/> 放通指定ip,指定端口、协议
<port protocol="tcp" port="80"/>
<accept/>
</rule>
<rule family="ipv4"> 放通任意ip访问服务器的9527端口
<port protocol="tcp" port="9527"/>
<accept/>
</rule>
</zone>
Над хорошим профилем можно увидеть:
1、添加需要的规则,开放通源ip为122.10.70.234,端口514,协议tcp;
2、开放通源ip为123.60.255.14,端口10050-10051,协议tcp;/3、开放通源ip为任意,端口9527,协议tcp;
брандмауэр часто используемые команды
- Перезагрузка, выключить поворот firewalld.service службы
service firewalld restart 重启
service firewalld start 开启
service firewalld stop 关闭
- Просмотр состояния службы брандмауэра
systemctl status firewall
- Просмотр состояния брандмауэра
firewall-cmd --state
- Просмотр правила брандмауэра
firewall-cmd --list-all
[root@app-test firewalld]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp8s0
sources:
services: ssh dhcpv6-client
ports: 8082/tcp 8080/tcp 8081/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Перешли на CentOS Iptables брандмауэр
Iptables должен первым, чтобы выключить firewalld по умолчанию, а затем установить службу Iptables.
- Закрыть брандмауэр
service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动
- Установить Iptables брандмауэр
yum install -y iptables-services #安装
- Редактирование Iptables брандмауэр конфигурации
vi /etc/sysconfig/iptables #编辑防火墙配置文件
Ниже приведен полный конфигурационный файл:
Firewall configuration written by system-config-firewall
Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
: Wq # Сохранить и выйти
service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动
Используйте команду ВВОД для открытых портовых служб
iptables -I INPUT -p tcp --dport 8011 -j ACCEPT #开启8011端口
/etc/rc.d/init.d/iptables save #保存配置
/etc/rc.d/init.d/iptables restart #重启服务
/etc/init.d/iptables status #查看端口是否已经开放