Centos防火墙配置

Posted 何晓恩

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Centos防火墙配置相关的知识,希望对你有一定的参考价值。

一、防火墙的概念

防火墙技术是用于安全管理的软件和硬件设备,在计算机内/外网之间构建一道相对隔绝的保护屏障,以保护数据和信息安全性的一种技术。

防火墙分为网络防火墙和主机防火墙。

网络防火墙由软件和硬件组成,可以保护整个网络,价格也很贵,从几万到几十万的都有,功能非常强大,主要包括入侵检测、网络地址转换、网络操作的审计监控、强化网络安全服务等功能。

主机防火墙只有软件部分(操作系统和杀毒软件自带),用于保护本操作系统,功能比较简单,只能防范简单的攻击。

二、防火墙配置

CentOS7的防火墙比CentOS6的功能更强大,配置方法和操作命令也完全不同。

CentOS7的防火墙规则既可以是端口,也可以是服务。

防火墙查看和配置以下介绍的命令,如果没有特别说明就表示需要管理员权限执行。

1、查看防火墙的命令

1)查看防火墙的版本

firewall-cmd --version

2)查看firewall的状态

firewall-cmd --state

3)查看firewall服务状态(普通用户可执行)

systemctl status firewalld

4)查看防火墙全部的信息

firewall-cmd --list-all

5)查看防火墙已开通的端口

firewall-cmd --list-port

6)查看防火墙已开通的服务

firewall-cmd --list-service

7)查看全部的服务列表(普通用户可执行)

firewall-cmd --get-services

8)查看防火墙服务是否开机启动

systemctl is-enabled firewalld

2、配置防火墙的命令

 1)启动、重启、关闭防火墙服务

# 启动

systemctl start firewalld

# 重启

systemctl restart firewalld

# 关闭

systemctl stop firewalld

#查看状态

systemctl status firewalld

2)开放、移去某个端口

# 开放80端口

firewall-cmd --zone=public --add-port=80/tcp --permanent

# 移去80端口

firewall-cmd --zone=public --remove-port=80/tcp --permanent

3)开放、移去范围端口

# 开放5000-5500之间的端口

firewall-cmd --zone=public --add-port=5000-5500/tcp --permanent

# 移去5000-5500之间的端口

firewall-cmd --zone=public --remove-port=5000-5500/tcp --permanent

4)开放、移去服务

# 开放ftp服务

firewall-cmd --zone=public --add-service=ftp --permanent

# 移去http服务

firewall-cmd --zone=public --remove-service=ftp --permanent

5)重新加载防火墙配置(修改配置后要重新加载防火墙配置或重启防火墙服务)

firewall-cmd --reload

6)设置开机时启用、禁用防火墙服务

# 启用服务

systemctl enable firewalld

# 禁用服务

systemctl disable firewalld

三、centos7以下版本

1)开放80,22,8080 端口

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

2)保存

/etc/rc.d/init.d/iptables save

3)查看打开的端口

/etc/init.d/iptables status

4)启动、关闭防火墙服务

# 启动服务

service iptables start

# 关闭服务

service iptables stop

5)设置开机时启用、禁用防火墙服务

# 启用服务

chkconfig iptables on

# 禁用服务

chkconfig iptables off

四、云平台访问策略配置

如果您购买的是云服务器,除了配置云服务器的防火墙,还需要登录云服务器提供商的管理平台配置访问策略(或安全组)。

不同云服务器提供商的管理平台操作方法不同,具体方法请查阅云服务器提供商的操作手册、或者百度,或者咨询云服务器提供商的客服。

CentOS防火墙的配置方法详解iptables

CentOS6/7系统是基于linux中的,它的防火墙其实就是iptables了。

下面我来介绍在CentOS防火墙iptables的配置教程,希望此教程对各位朋友会有所帮助。

iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置。

配置CentOS和Ubuntu等Linux服务器时需要对服务器的iptables进行配置,以下是iptables常见的几种配置方法。

1.查看当前所有的iptables配置

代码如下复制代码

iptables -L -n

2.添加允许INPUT访问规则,以下时常见服务的端口设置,如果需要拒绝访问,则将ACCEPT改为DROP即可

代码如下复制代码

#SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#HTTP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

#HTTPS

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#POP3

iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SMTP

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#FTP

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#DNS

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

3.添加使用IP限制INPUT访问规则,这里拿SSH为例,192.168.0.100为允许的IP

代码如下复制代码

#DELETE

iptables -D INPUT -p tcp --dport 22 -j ACCEPT

#ADD

iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

4.保存iptables的设置,修改完规则后记得保存

代码如下复制代码

/etc/rc.d/init.d/iptables save

5.重启iptables

代码如下复制代码

service iptables restart

6.开启/关闭 开机启动

代码如下复制代码

chkconfig iptables on

chkconfig iptables off

7 .打开iptables的配置文件:

代码如下复制代码

vi /etc/sysconfig/iptables

通过/etc/init.d/iptables status命令查询是否有打开80端口,如果没有可通过两种方式处理:

8.修改vi /etc/sysconfig/iptables命令添加使防火墙开放80端口

代码如下复制代码

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

9.关闭/开启/重启防火墙

代码如下复制代码

/etc/init.d/iptables stop

#start 开启

#restart 重启

10.永久性关闭防火墙

代码如下复制代码

chkconfig --level 35 iptables off

/etc/init.d/iptables stop

iptables -P INPUT DROP

11.打开主动模式21端口

代码如下复制代码

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

12.打开被动模式49152~65534之间的端口

代码如下复制代码

iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

注意:

一定要给自己留好后路,留VNC一个管理端口和SSh的管理端口

需要注意的是,你必须根据自己服务器的情况来修改这个文件。

全部修改完之后重启iptables:

代码如下复制代码

service iptables restart

你可以验证一下是否规则都已经生效:

代码如下复制代码

iptables -L

通过文章的介绍,我们清楚的知道了CentOS下配置iptables防火墙的过程

在虚拟机搭建web后,主机访问不了,具体情况如下:

1。本机能ping通虚拟机

2。虚拟机也能ping通本机

3。虚拟机能访问自己的web

4。本机无法访问虚拟己的web

这时应该要想到是防火墙的原因。关于防火墙的设置网上很多例子,也有点复杂,在这里我就不介绍了。这里只解决如何让主机能够通过ip访问虚拟机的web。

代码如下复制代码

[[email protected] ~]# vi /etc/sysconfig/iptables

Firewall configuration written by system-config-firewall

Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

注意上面红色的一行。80端口是默认的web端口。22为ssh的端口(可通过ssh连接虚拟机了)。

重启防火墙让刚才的修改生效。

代码如下复制代码

[[email protected] ~]# /etc/init.d/iptables restart

这时,你再在主机上通过ip访问虚拟机的web,应该就可以了。

以上是关于Centos防火墙配置的主要内容,如果未能解决你的问题,请参考以下文章

详述CentOS 7中Firewalld防火墙基础

Firewalld防火墙(CentOS 7)

虚拟机安装(安装(克隆)虚拟机 配置网络 安装Centos7 配置(修改)虚拟机的静态IP 修改网卡的配置文件 测试网络是否互通外部工具 连接linux系统 设置服务器时间 修改主机名)

linux下怎么开启80端口

Linux网卡配置的四种模式以及防火墙设置的四种方式(CentOS 7.4)未完成

CentOS实现双网卡网络共享