admin管理员组文章数量:1642331
作为服务器的最后一道网络安全防线,CentOS的防火墙是必须开启的,以下是对防火墙最基本且必要的设置:
一些常用的命令说明
#systemctl enable(disabled) firewalld 启用(禁用)防火墙(设置防火墙服务是否随系统启动)
#systemctl start(stop) firewalld 启动(关闭)防火墙
#systemctl status firewalld 查看防火墙状态
#firewall-cmd --zone=public --list-services 查看防火墙允许通过的服务(防火墙必须在enable状态)
#firewall-cmd --zone=public --list-ports 查看防火墙允许通过的端口(防火墙必须在enable状态)
#firewall-cmd --zone=public --list-rich 查看rich规则
#firewall-cmd --zone=public --list-all 查看防火墙所有策略
#firewall-cmd --get-default-zone 查看当前区域
#firewall-cmd --permanent --zone=public --add-service=http 为防火墙添加允许通过的http服务(等同于tcp:80)
#firewall-cmd --permanent --zone=public --add-port=80/tcp 以端口形式允许通过的http服务
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="172.17.0.1/16" port port="3306" protocol="tcp" accept' 允许指定ip连接本地的3306(ip段用172.17.0.0/24)
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' 允许指定ip连接本地的http服务
#firewall-cmd --permanent --zone=public --remove-service=http
firewall-cmd --permanent --remove-port=8080/tcp
#firewall-cmd --reload 配置完毕以后运行此命令生效
下面是一个web服务器常用的设置流程分享:
#允许防火墙随系统启动
#systemctl enable firewalld
#启动防火墙(不启动不允许配置)
#systemctl start firewalld
#查看防火墙状态
#systemctl status firewalld
查看当前区域,如果未自行设定,一般结果是public
#firewall-cmd --get-default-zone
首先分别以服务形式和端口形式查看一下已经开放的服务和端口
#firewall-cmd --zone=public --list-services 查看防火墙允许通过的服务(防火墙必须在enable状态)
#firewall-cmd --zone=public --list-ports 查看防火墙允许通过的端口(防火墙必须在enable状态)
#打开服务器的http服务
#firewall-cmd --permanent --zone=public --add-service=http
#指定172.16.1.x可以通过ssh连接服务器
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="172.16.1.0/24" service name="ssh" accept'
#指定192.168.1.99可以通过ssh连接服务器
#firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.99/24" service name="ssh" accept'
#关闭允许所有ssh的权限,如果在第一步查看已经开放的服务的时候,ssh已经开放了,则上述对ssh服务的细化权限设定是会被覆盖的,所以要关闭这个权限
firewall-cmd --permanent --zone=public --remove-service=ssh
上述配置在未重启防火墙服务或者没有reload之前是不会生效,尽管放心设置
#firewall-cmd --reload 使上述配置生效
按照最小权限的原则,设置服务器的所有网络权限,比如服务器是Oracle数据库服务器,就应该在防火墙上细化设定每一个允许访问1521端口的ip,oracle本身通过sqlnet.ora的权限设置也必不可少,网络环境如此混乱,网路安全不能忽视!
本文标签: 防火墙
版权声明:本文标题:CentOS7防火墙设置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1729335131a1196880.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论