Linux 有问必答：在 CentOS 或 RHEL 防火墙上开启端口

Question

问题 ：我在 CentOS 系统上运行一台网页或文件服务器，打算远程访问服务器。因此，我需要更改防火墙规则以允许访问系统上的某个 TCP 端口。那么，有什么好方法在 CentOS 或 RHEL 系统的防火墙上开启 TCP/UDP 端口？

如果希望在服务器上提供服务，诸如 CentOS 或 RHEL 的企业级 Linux 发行版包含内置的强大防火墙，它们默认的防火墙规则十分严格。因此，如果你安装了任何定制的服务（比如 web 服务器、NFS 和 Samba），那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过。

在 CentOS/RHEL 6 或更早的版本上，iptables 服务允许用户与 netfilter 内核模块交互来在用户空间中配置防火墙规则。然而，从 CentOS/RHEL 7 开始，一个叫做 firewalld 新用户空间接口被引入以取代 iptables 服务。

使用这个命令察看当前的防火墙规则：

$ sudo iptables -L 

现在，让我们看看如何在 CentOS/RHEL 上修改防火墙来开启一个端口。

在 CentOS/RHEL 7 上开启端口

启动 CentOS/RHEL 7 后，防火墙规则设置由 firewalld 服务进程默认管理。一个叫做 firewall-cmd 的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。

使用这些命令来永久打开一个新端口（如 TCP/80）。

$ sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
$ sudo firewall-cmd --reload 

如果不使用“--permanent”标记，把么防火墙规则在重启后会失效。

在 CentOS/RHEL 6 上开启端口

在 CentOS/RHEL 6 甚至更早版本系统上，iptables 服务负责维护防火墙规则。

使用 iptables 的第一条命令可以通过防火墙开启一个新 TCP/UDP 端口。为了永久保存修改过的规则，还需要第二条命令。

$ sudo iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$ sudo service iptables save 

另一种方法是通过一个名为 system-config-firewall-tui 的命令行用户接口（TUI）的防火墙客户端。

$ sudo system-config-firewall-tui

选择位于中间的“Customize”按钮，按下 ENTER 键即可。

如果想要为任何已知的服务（如 web 服务器）修改防火墙，只需勾选该服务，然后关闭工具。如果想要开启任意一个 TCP/UDP 端口，选择“Forward”按钮，然后进入下一个界面。

选择“Add”按钮添加一条新规则。

指定一个端口（如 80）或者端口范围（如 3000-3030）和协议（如 tcp 或 udp）。

最后，保存修改过的配置，关闭工具。这样，防火墙就永久保存了。