Centos7服务器防火墙设置教程

winkel_wang2025-03-03 22:48

Centos7服务器防火墙设置教程

系统环境:Centos7

首先,确保你的系统上安装了 firewalld。通常,在 CentOS 7 上,firewalld 已经预装。如果没有安装,可以通过以下命令安装:

sudo yum install firewalld

启动并设置 firewalld 在系统启动时自动启动:

sudo systemctl start firewalld

sudo systemctl enable firewalld

以下是一些防火墙的常用安全设置实例

开放Web服务端口

对于运行Web服务的服务器,通常需要开放80(HTTP)和443(HTTPS)端口。

firewall-cmd --permanent --add-service=http

firewall-cmd --permanent --add-service=https

firewall-cmd --reload

开放SSH端口

为了安全地远程管理服务器,需要开放SSH端口(默认22)。

firewall-cmd --permanent --add-service=ssh

firewall-cmd --reload

开放数据库端口

如果运行MySQL/MariaDB数据库,需要开放3306端口。

firewall-cmd --permanent --add-port=3306/tcp

firewall-cmd --reload

开放DNS服务端口

运行DNS服务需要开放53端口(TCP和UDP)。

firewall-cmd --permanent --add-service=dns

firewall-cmd --reload

配置FTP服务

FTP服务通常需要开放21端口和被动模式端口范围。

firewall-cmd --permanent --add-service=ftp

firewall-cmd --permanent --add-port=30000-31000/tcp # 被动模式端口范围

firewall-cmd --reload

配置邮件服务器

邮件服务器可能需要开放多个端口,如25(SMTP)、110(POP3)、143(IMAP)等。

firewall-cmd --permanent --add-service=smtp

firewall-cmd --permanent --add-service=pop3

firewall-cmd --permanent --add-service=imap

firewall-cmd --reload

配置网络文件系统服务

网络文件系统服务需要开放2049端口和其他相关端口。

firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

firewall-cmd --reload

配置Windows文件共享服务

Windows文件共享服务需要开放137-139和445端口。

firewall-cmd --permanent --add-service=samba

firewall-cmd --reload

配置DHCP服务

DHCP服务需要开放67和68端口(UDP)。

firewall-cmd --permanent --add-service=dhcp

firewall-cmd --reload

注意事项

规则生效:在配置完所有规则后,需要重新加载firewalld以使规则生效。使用firewall-cmd --reload命令。

安全性:在开放端口时,应仅开放必要的服务端口,避免开放不必要的端口以减少安全风险。

补充:

禁用某个IP为192.168.0.100的地址禁止访问80端口:

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.100" port protocol="tcp" port="80" reject"

firewall-cmd --reload

解除刚才被限制的192.168.0.100

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

firewall-cmd --reload

限制IP地址段

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.1.0/24" port protocol="tcp" port="80" reject"

firewall-cmd --reload

相关推荐
coderklaus1 分钟前
Shell 基础知识
linux·macos·shell
争不过朝夕,又念着往昔28 分钟前
即时通讯项目---网关服务
linux·c++·vscode
时空自由民.39 分钟前
linux下camera 详细驱动流程 OV02K10为例(chatgpt版本)
linux·运维·服务器
码界奇点1 小时前
Python内置函数全解析:30个核心函数语法、案例与最佳实践指南
linux·服务器·python
The_Second_Coming1 小时前
Linux 学习笔记 - 集群管理篇
linux·笔记·学习
ChuHsiang1 小时前
【Linux系统编程】日积月累——进程(2)
linux
云川之下1 小时前
【网络】使用 DNAT 进行负载均衡时,若未配置配套的 SNAT,回包失败
运维·网络·负载均衡
shylyly_2 小时前
Linux->多线程2
java·linux·多线程·线程安全·线程同步·线程互斥·可重入
ManageEngineITSM2 小时前
云原生环境下的ITSM新趋势:从传统运维到智能化服务管理
大数据·运维·人工智能·云原生·itsm·工单系统
檀越剑指大厂2 小时前
【Nginx系列】查看 Nginx 的日志
运维·nginx
热门推荐
01UV安装并设置国内源02KGG转MP3工具|非KGM文件|解密音频03Cursor 快速入门指南:从安装到核心功能04【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)05【踩坑笔记】50系显卡适配的 PyTorch 安装0620个国内外主流AI绘画工具大汇总(最新免费可用~)07Claude Code VSCode集成开发指南:AI编程助手完整配置08蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接09UnityHub Validation Failed下载编辑器错误,添加模块报错的解决方案10突破百度网盘的下载限速,两种方法教会你【超详细】