centos7系统默认防火墙Firewall使用方法

在CentOS 7系统中，默认的防火墙工具是Firewalld，Firewalld是一个动态管理的防火墙，可以提供网络连接和接口的防火墙服务，它可以支持网络区域（zones）以对网络连接以及相关的防火墙规则进行分组，并支持IPv4、IPv6防火墙设置以及以太网桥接等。

Firewalld的基本操作

启动Firewalld服务

在CentOS 7中，可以通过systemctl命令来启动firewalld服务：

systemctl start firewalld

查看Firewalld服务状态

可以使用以下命令查看firewalld服务的状态：

systemctl status firewalld

或者使用firewallcmd命令：

firewallcmd state

停止Firewalld服务

如果需要停止firewalld服务，可以使用以下命令：

systemctl stop firewalld

禁止Firewalld服务开机启动

如果希望在系统启动时不自动启动firewalld服务，可以使用以下命令：

systemctl disable firewalld

允许Firewalld服务开机启动

如果希望在系统启动时自动启动firewalld服务，可以使用以下命令：

systemctl enable firewalld

Firewalld的高级操作

查看当前默认区域

可以使用以下命令查看当前的默认区域：

firewallcmd getdefaultzone

修改默认区域

可以使用以下命令修改默认区域：

firewallcmd setdefaultzone=<zone>

<zone>是你想要设置的区域名称。

查看所有打开的端口

可以使用以下命令查看所有已经打开的端口：

firewallcmd listports

开放指定端口

可以使用以下命令开放指定的端口：

firewallcmd zone=public addport=80/tcp permanent

zone参数用于指定网络区域，addport参数用于指定要开放的端口和协议，permanent参数表示永久生效。

删除已开放的端口

可以使用以下命令删除已经开放的端口：

firewallcmd zone=public removeport=80/tcp permanent

zone参数用于指定网络区域，removeport参数用于指定要删除的端口和协议，permanent参数表示永久生效。

Firewalld的进阶操作

查看所有开放的服务

可以使用以下命令查看所有已经开放的服务：

firewallcmd listservices

开放指定服务

可以使用以下命令开放指定的服务：

firewallcmd zone=public addservice=http permanent

zone参数用于指定网络区域，addservice参数用于指定要开放的服务，permanent参数表示永久生效。

删除已开放的服务

可以使用以下命令删除已经开放的服务：

firewallcmd zone=public removeservice=http permanent

zone参数用于指定网络区域，removeservice参数用于指定要删除的服务，permanent参数表示永久生效。

Firewalld的高级操作

查看所有已允许的网络连接

可以使用以下命令查看所有已经允许的网络连接：

firewallcmd listrichrules

允许特定IP访问

可以使用以下命令允许特定的IP地址访问：

firewallcmd zone=public addrichrule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="80" accept' permanent

zone参数用于指定网络区域，addrichrule参数用于指定要添加的规则，permanent参数表示永久生效。

删除已允许的网络连接

可以使用以下命令删除已经允许的网络连接：

firewallcmd zone=public removerichrule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="80" accept' permanent

zone参数用于指定网络区域，removerichrule参数用于指定要删除的规则，permanent参数表示永久生效。

Firewalld的常见问题解答(FAQs)

Q1: Firewalld服务启动失败怎么办？

A1: 如果Firewalld服务启动失败，首先检查你的系统是否已经安装了Firewalld，然后尝试使用systemctl restart firewalld命令重启服务，如果问题依然存在，可以查看日志文件/var/log/messages中的相关信息，找出问题的原因。

Q2: 如何临时开放一个端口？

A2: 如果你只是临时需要开放一个端口，不需要使用permanent参数，你可以使用以下命令临时开放端口80：firewallcmd zone=public addport=80/tcp，这个设置在系统重启后将失效。