如何在CentOS 7中查看防火墙开放的端口？

在CentOS 7中，查看防火墙开放的端口主要通过firewalld服务来实现，以下是详细的步骤和相关命令：

检查Firewalld状态

我们需要确认firewalld服务是否正在运行，可以使用以下命令来检查其状态：

systemctl status firewalld

如果看到active (running)，则表示firewalld服务正在运行。

列出所有开放端口

要查看当前所有开放的端口，可以使用以下命令：

firewall-cmd --list-ports

该命令会返回一个列表，显示所有已配置的开放端口及其协议（TCP/UDP）。

按区域查看开放端口

如果你的系统配置了多个区域（zone），可以指定区域来查看特定区域的开放端口：

firewall-cmd --zone=public --list-ports

将public替换为你希望查看的区域名称。

详细列出规则

为了更详细的信息，包括源地址、目的地址、服务等，可以使用以下命令：

firewall-cmd --list-all

这将显示所有区域的规则，包括开放端口、允许的服务、ICMP类型等。

使用表格展示开放端口

为了更好地组织和查看信息，我们可以使用awk和column命令将输出格式化为表格形式：

firewall-cmd --list-ports | awk '{print $1, $2}' | column -t

这将以表格形式列出所有开放的端口及其协议。

保存当前配置

如果你想保存当前的防火墙配置，以便以后恢复，可以使用以下命令：

firewall-cmd --runtime-to-永久

重新加载防火墙配置

在某些情况下，你可能需要重新加载防火墙配置，可以使用以下命令：

firewall-cmd --reload

FAQs

Q1: 如何更改防火墙开放端口的数量限制？

A1:firewalld本身没有直接限制开放端口的数量，可以通过调整系统参数（如/proc/sys/net/core/somaxconn）来控制同时打开的文件描述符数量，从而间接影响可开放的端口数。

echo 65535 > /proc/sys/net/core/somaxconn

修改此值可能会影响系统稳定性，需谨慎操作。

Q2: 如果我想永久添加一个端口到防火墙规则中，应该怎么做？

A2: 要永久添加一个端口到防火墙规则中，可以使用--permanent选项，要永久开放TCP端口8080，可以使用以下命令：

firewall-cmd --permanent --add-port=8080/tcp

然后重新加载防火墙配置以使更改生效：

firewall-cmd --reload

小编有话说：管理防火墙规则是系统管理员的重要职责之一，正确配置防火墙不仅可以保护系统安全，还能确保必要的网络服务正常运行，在CentOS 7中，firewalld提供了灵活且强大的工具来管理和查询防火墙规则，希望本文能帮助你更好地理解和使用这些工具，记得定期检查和更新你的防火墙规则，以应对不断变化的安全威胁。