概述(官方有更详细的说明)Firewalld提供动态管理的防火墙,支持网络/防火墙区域,用于定义网络连接或接口的信任级别。它支持IPv4、IPv6防火墙设置、以太网桥和IP集。运行时和永久配置选项是分开的。它还为服务或应用程序提供了直接添加防火墙规则的接口。既然简单易用,那肯定教你如何查看防火墙的状态,以及防火墙的关闭和开启。我们都知道防火墙既然开了,肯定是有一些端口限制的,不能说你要通过哪些。端口可以??通过哪些端口访问我们的主机(也就是服务器),也就是说,我开放了哪些端口,你可以通过我开放的这些端口访问我的主机,否则我们还有什么需要防火墙的,谁想进来就进来(或者通过任意端口),防火墙不是摆设,说到防火墙,多说一句,防火墙有软件层面和物理设置层面(一部分网络)专业的物理设备),那么我们这里说的就是软件层面的防火墙,也就是Firewalld。CentOS7以下版本常用的软件防火墙是Firewalld。为什么在CentOS7以下版本普遍使用?这是因为之前的CentOS两个版本都使用了iptables防火墙,所以再深入一点,这个要追溯到CentOS7的发展和RedHad的关系,扯远了,我们防火墙的主要目的是为了保护我们的主机管理,其中主要部分是端口管理!查询防火墙状态shell#systemctlstatusfirewalldexecute[warnerwu@localhost~]$systemctlstatusfirewalldFirewalld.service-firewalld-dynamicfirewalldaemonLoaded:loaded(/usr/lib/systemd/system/firewalld.service;disabled;vendorpreset:enabled)active:inactive(dead)文档:man:firewalld(1)启动防火墙注意:只有administrator或administrator用户组才有管理防火墙的权限,普通用户没有可以shell#systemctlstartfirewalldexecute[root@localhost~]#systemctlstartfirewalld[root@localhost~]#你会发现什么都没有,玩linux或者osx系统的朋友都知道没有提示就是最好的提示,说明已经成功了,有提示就说明有问题。再次检查防火墙状态。shell#systemctlstatusfirewalldexecute[root@localhost~]#sudosystemctlstatusfirewalldFirewalld.service-firewalld-动态防火墙守护进程加载:加载(/usr/lib/systemd/system/firewalld.service;禁用;供应商预设:启用)活动:自周五2018-09-0700:04:55CST起活跃(运行);5分钟前文档:man:firewalld(1)MainPID:11339(firewalld)CGroup:/system.slice/firewalld.service└─11339/usr/bin/python-Es/usr/sbin/firewalld--nofork--nopidSep0700:04:55izj6c3bcx7adgva5dda2e0zsystemd[1]:启动firewalld-动态防火墙守护进程...9月0700:04:55izj6c3bcx7adgva5dda2e0zsystemd[1]:启动firewalld-动态防火墙守护进程。9月07日00:04:55izj6advazdag5bcx7ipv6内核不支持firewalld:':MPWnd3ING9type:'[113-scope'。9月07日00:04:55izj6c3bcx7adgva5dda2e0zfirewalld[11339]:警告:超出范围:INVALID_ICMPTYPE:没有支持的ICMP类型,ignorin...-time.September0700:04:55izj6c3bcx7adgva5dda2e0zfirewd[11339]:警告:内核不支持ICMP类型“失败策略”用于ipv6.September0700:04:55izj6c3bcx7adgva5dda2e0zfirew11339]:警告:策略失败:INVALID_ICMPTYPE:没有支持的ICMP类型,忽略......时间。9月07日00:04:55izj6c3bcx7adgva5dda2e0zfirewalld[11339]:警告:ICMP类型“拒绝路由”不受ipv6内核的支持。9月07日00:04:55izj6c3bcx7adgva5dda2e0zfirewalld[11339]:警告:拒绝路由:INVALID_ICMPTYPE:没有支持的ICMP类型。忽略...-time。提示:一些行被省略,使用-l显示完整。嗯,你会发现它已经在运行了,仅此而已。还有一点,如果你对CentOS7或者RedHat7足够了解的话,你就会很熟悉systemctl是什么了。她是systemservicemanagementtool,一个系统工具,用来管理系统服务的,这样你就明白了吧!以前的CentOS版本使用service进行系统服务管理。更多关于systemctl或服务的信息,请自行百度或谷歌。我们简单说完了,查看防火墙状态和如何启动防火墙,接下来说说如何开启端口!查看防火墙开放端口列表防火墙的端口管理是通过firewall-cmd命令来管理的,这个一定要清楚,也是你系统端口管理的关键,嗯,是她,是她,是她,她这么风骚,哈哈,拿她没办法,不行,你可以对她撒娇,什么!你想多了,我没说,是你自己的想法~shell#firewall-cmd--list-allexecute[root@localhost~]#firewall-cmd--list-allpublictarget:defaulticmp-block-inversion:nointerfaces:sources:services:sshdhcpv6-clientports:protocols:masquerade:noforward-ports:source-ports:icmp-blocks:richrules:你会发现它很空,没有开放的端口,嗯,这个是新装的linux系统。你的可能和我的一样,也可能不一样。您应该注意将开放端口添加到防火墙。比如我们开放80端口,其他用户就可以访问我的站点shell//Step1:在配置文件中加入开放端口#firewall-cmd--zone=public--add-port=80/tcp--permanent--zone=publicAddtimezone--add-port=80/tcpAddport--permanentPermanently//加载防火墙的新配置文件(以root身份输入以下命令,在不中断用户连接的情况下重新加载防火墙,即不丢失状态信息。)firewall-cmd--reload再次检查防火墙开放端口列表shell#firewall-cmd--list-allexecute[root@localhost~]#firewall-cmd--list-allpublic-反转:无接口:来源:服务:sshdhcpv6-客户端端口:80/tcp协议:伪装:无转发-端口:源-端口:icmp-blocks:richrules:这时候你会发现多了一个对应端口的80/tcp,说明已经加入到防火墙开放列表中了。更新:2018-11-10启动时自动启动firewalld防火墙服务检查firewalld服务是否启动时自动启动$systemctllist-unit-files|grepfirewallfirewalld.servicedisabled使firewalld服务开机自启$systemctlenablefirewalld.service检查firewalld服务是否开机自启$systemctllist-unit-files|grepfirewallfirewalld.serviceenabled关闭开机自动启动firewalld服务$systemctldisablefirewalld.service希望本文对您的工作学习有所帮助。如果你觉得还不错,你怎么感谢我?我的天啊!喜欢它!祝你好运!来自warnerwu于2018.09.07AM
