Question

备注： centos7 版本对防火墙进行加强，不再使用原来的 iptables，启用 firewalld。

centos 使用 systemctl 命令来管理后台服务 service.

常用命令：systemctl status|start|stop|disable|enable|is-enabled| [service]

firewalld (centos7 之后)

如果服务端口正常，但外界不可访问，可检测是否开启了防火墙

# 1.：firewalld 的基本使用
启动：  systemctl start firewalld
状态：  systemctl status firewalld
停止：  systemctl disable firewalld
禁用：  systemctl stop firewalld
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed

# 2.配置 firewalld-cmd
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic

# 3.配置规则
参数说明:
–add-service #添加的服务
–zone #作用域
–add-port=80/tcp #添加端口，格式为：端口/通讯协议
–permanent #永久生效，没有此参数重启后失效

# 示例: 开放端口
firewall-cmd --zone=public --query-port=80/tcp
firewall-cmd --zone=public --query-port=8080/tcp
firewall-cmd --zone=public --query-port=3306/tcp
firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --zone=public --query-port=3306/tcp
firewall-cmd --zone=public --query-port=8080/tcp
firewall-cmd --reload  # 重新加载后才能生效


# 示例：增加屏蔽 IP
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="119.1.97.214" reject

iptables (centos7 之前)

# 1.开放 80，22，8080 端口
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

# 2.保存
/etc/rc.d/init.d/iptables save

# 3.查看打开的端口
/etc/init.d/iptables status

# 4.关闭防火墙
# 1） 永久性生效，重启后不会复原 off/on
$ chkconfig iptables off

# 2） 即时生效，重启后复原 start/stop
$ service iptables stop