Centos7服务器防火墙设置教程

winkel_wang2025-03-03 22:48

Centos7服务器防火墙设置教程

系统环境:Centos7

首先,确保你的系统上安装了 firewalld。通常,在 CentOS 7 上,firewalld 已经预装。如果没有安装,可以通过以下命令安装:

sudo yum install firewalld

启动并设置 firewalld 在系统启动时自动启动:

sudo systemctl start firewalld

sudo systemctl enable firewalld

以下是一些防火墙的常用安全设置实例

开放Web服务端口

对于运行Web服务的服务器,通常需要开放80(HTTP)和443(HTTPS)端口。

firewall-cmd --permanent --add-service=http

firewall-cmd --permanent --add-service=https

firewall-cmd --reload

开放SSH端口

为了安全地远程管理服务器,需要开放SSH端口(默认22)。

firewall-cmd --permanent --add-service=ssh

firewall-cmd --reload

开放数据库端口

如果运行MySQL/MariaDB数据库,需要开放3306端口。

firewall-cmd --permanent --add-port=3306/tcp

firewall-cmd --reload

开放DNS服务端口

运行DNS服务需要开放53端口(TCP和UDP)。

firewall-cmd --permanent --add-service=dns

firewall-cmd --reload

配置FTP服务

FTP服务通常需要开放21端口和被动模式端口范围。

firewall-cmd --permanent --add-service=ftp

firewall-cmd --permanent --add-port=30000-31000/tcp # 被动模式端口范围

firewall-cmd --reload

配置邮件服务器

邮件服务器可能需要开放多个端口,如25(SMTP)、110(POP3)、143(IMAP)等。

firewall-cmd --permanent --add-service=smtp

firewall-cmd --permanent --add-service=pop3

firewall-cmd --permanent --add-service=imap

firewall-cmd --reload

配置网络文件系统服务

网络文件系统服务需要开放2049端口和其他相关端口。

firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

firewall-cmd --reload

配置Windows文件共享服务

Windows文件共享服务需要开放137-139和445端口。

firewall-cmd --permanent --add-service=samba

firewall-cmd --reload

配置DHCP服务

DHCP服务需要开放67和68端口(UDP)。

firewall-cmd --permanent --add-service=dhcp

firewall-cmd --reload

注意事项

规则生效:在配置完所有规则后,需要重新加载firewalld以使规则生效。使用firewall-cmd --reload命令。

安全性:在开放端口时,应仅开放必要的服务端口,避免开放不必要的端口以减少安全风险。

补充:

禁用某个IP为192.168.0.100的地址禁止访问80端口:

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.100" port protocol="tcp" port="80" reject"

firewall-cmd --reload

解除刚才被限制的192.168.0.100

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

firewall-cmd --reload

限制IP地址段

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.1.0/24" port protocol="tcp" port="80" reject"

firewall-cmd --reload

相关推荐
NineData20 小时前
NineData 将亮相 XCOPS 智能运维管理人年会 2026 广州站
运维·dba·开发工具·数据库管理工具·ninedata·数据库管理员·数据迁移工具
快乐的哈士奇20 小时前
历史对话关联 RAG 上下文检索 — 内部技术介绍
服务器·数据库·oracle
難釋懷20 小时前
Nginx介绍与安装
运维·nginx
windawdaysss20 小时前
使用VMware Workstation Pro安装Ubuntu虚拟机教程
linux·运维·ubuntu
土星云SaturnCloud20 小时前
32TOPS工业级算力+无风扇全密封!土星云SE110S-WA32边缘计算微服务器深度测评
服务器·人工智能·ai·边缘计算
宋浮檀s20 小时前
Linux后门持久化排查
linux·运维·服务器
xuhaoyu_cpp_java20 小时前
Linux学习(一)
linux·经验分享·笔记·学习
诗句藏于尽头20 小时前
服务器入侵事件复盘:从发现到修复的完全指南
运维·服务器
小此方20 小时前
Re: Linux系统篇(十八)进程篇·三:深度硬核!全面起底 Linux 进程状态变化与内核链表动态解绑
linux·驱动开发·链表
浮尘笔记1 天前
Java Snowy框架CI/CD云效自动化部署流程
java·运维·服务器·阿里云·ci/cd·自动化
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05几个好用的ip纯净度检测网站06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?08用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比09codex app每次打开重连5次Reconnecting问题解决10【AI】2026 年具身智能模型和世界模型总结