CentOS 7 Firewall 防火墙设置

这篇文章原写于春节前，本打算作为第三周的分享，只是感觉不是很完善就一直放着，刚好这周在整理文章，便作些修改作为本周周分享。

基本操作

1
# 启动
2
systemctl start firewalld
3

4
# 关闭
5
systemctl stop firewalld
6

7
# 重启
8
systemctl restart firewalld
9
firewall-cmd --reload
10

11
# 停止
12
systemctl disable firewalld
13

14
# 查看当前状态
15
systemctl status firewalld
16
firewall-cmd --state

注：firewall-cmd 命令只能在防火墙启用时才能使用。

修改

防火墙要添加例外端口无外乎两种方法：修改端口和服务。

添加端口

添加端口例外是最简单和直接的方法，也方便后续查看所有已添加的端口，唯一不便的是需要在防火墙运行的前提下才能操作。

1
# 查看 public 已打开端口
2
firewall-cmd --zone=public --list-port
3
# 查看指定端口是否开启
4
firewall-cmd --zone=public --query-port=2022/tcp
5

6
# 添加端口
7
firewall-cmd --zone=public --add-port=2022/tcp
8
# 删除端口
9
firewall-cmd --zone=public --remove-port=2022/tcp
10

11
# 重启服务
12
systemctl restart firewalld

在上面的命令中zone都是指定为 CentOS 7 默认的public规则集，但是除了 public 之外还有另外 8 个 zone：

1. drop：丢弃
2. block：限制
3. external：外部
4. dmz：非军事区
5. work：工作
6. home：家庭
7. internal：内部
8. trusted：信任

如果不确定当前默认 zone，在已启用防火墙的情况下可以用命令firewall-cmd --get-default-zone查看。

注：需在命令后增加参数--permanent才会永久生效（需重启 firewall-cmd 服务）。

添加服务

添加服务的效果和添加端口是一样的，只不过是在对应服务中设置要开放的端口，优点在于方便管理某些服务需要用到多个端口的情况。

1
# 查看已开启那些服务
2
firewall-cmd --zone=public --list-services
3
# 查看可以开启那些服务
4
firewall-cmd --get-services
5

6
# 添加服务
7
firewall-cmd --add-service=telnet --permanent
8
# 删除服务
9
firewall-cmd --remove-service=telnet --permanent

CentOS 7 防火墙中的ssh 服务中是使用 22 端口，如果修改了默认端口号，需要同时修改/usr/lib/firewalld/services/ssh.xml文件中的端口。

提升

前面的两种操作中无论是添加端口，还是添加服务都需要在防火墙启用的情况下进行，但在通过 SSH 连接服务器时，直接启用防火墙可能会导致连接断开，此时就需要另一种方法达到目的。

在文件中添加端口

前面新增的端口和服务其实都会在文件public.xml中体现，所以我们只要在里面添加对应的端口即可。

用 vi 打开/etc/firewalld/zones/public.xml文件：

1
<?xml version="1.0" encoding="utf-8"?>
2
<zone>
3
  <short>Public</short>
4
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
5
  <service name="dhcpv6-client"/>
6
  <service name="ssh"/>
7
</zone>

在最后行</zone>前增加一句<port protocol="tcp" port="2022"/>保存后即可启用防火墙。不过如果想以添加服务的形式修改，还需修改或新增对应服务的文件。

修改对应服务端口

因为 CentOS 7 默认是已添加 ssh 服务为例外的，所以可以直接用 vi 打开对应的 xml 文件/usr/lib/firewalld/services/ssh.xml进行修改：

1
<?xml version="1.0" encoding="utf-8"?>
2
<service>
3
  <short>SSH</short>
4
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
5
  <port protocol="tcp" port="22"/>
6
</service>

主要关注<port protocol="tcp" port="22"/>这一行，把 22 改为当前对应的 ssh 端口保存即可。