Centos7服务器防火墙设置教程

winkel_wang2025-03-03 22:48

Centos7服务器防火墙设置教程

系统环境:Centos7

首先,确保你的系统上安装了 firewalld。通常,在 CentOS 7 上,firewalld 已经预装。如果没有安装,可以通过以下命令安装:

sudo yum install firewalld

启动并设置 firewalld 在系统启动时自动启动:

sudo systemctl start firewalld

sudo systemctl enable firewalld

以下是一些防火墙的常用安全设置实例

开放Web服务端口

对于运行Web服务的服务器,通常需要开放80(HTTP)和443(HTTPS)端口。

firewall-cmd --permanent --add-service=http

firewall-cmd --permanent --add-service=https

firewall-cmd --reload

开放SSH端口

为了安全地远程管理服务器,需要开放SSH端口(默认22)。

firewall-cmd --permanent --add-service=ssh

firewall-cmd --reload

开放数据库端口

如果运行MySQL/MariaDB数据库,需要开放3306端口。

firewall-cmd --permanent --add-port=3306/tcp

firewall-cmd --reload

开放DNS服务端口

运行DNS服务需要开放53端口(TCP和UDP)。

firewall-cmd --permanent --add-service=dns

firewall-cmd --reload

配置FTP服务

FTP服务通常需要开放21端口和被动模式端口范围。

firewall-cmd --permanent --add-service=ftp

firewall-cmd --permanent --add-port=30000-31000/tcp # 被动模式端口范围

firewall-cmd --reload

配置邮件服务器

邮件服务器可能需要开放多个端口,如25(SMTP)、110(POP3)、143(IMAP)等。

firewall-cmd --permanent --add-service=smtp

firewall-cmd --permanent --add-service=pop3

firewall-cmd --permanent --add-service=imap

firewall-cmd --reload

配置网络文件系统服务

网络文件系统服务需要开放2049端口和其他相关端口。

firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

firewall-cmd --reload

配置Windows文件共享服务

Windows文件共享服务需要开放137-139和445端口。

firewall-cmd --permanent --add-service=samba

firewall-cmd --reload

配置DHCP服务

DHCP服务需要开放67和68端口(UDP)。

firewall-cmd --permanent --add-service=dhcp

firewall-cmd --reload

注意事项

规则生效:在配置完所有规则后,需要重新加载firewalld以使规则生效。使用firewall-cmd --reload命令。

安全性:在开放端口时,应仅开放必要的服务端口,避免开放不必要的端口以减少安全风险。

补充:

禁用某个IP为192.168.0.100的地址禁止访问80端口:

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.100" port protocol="tcp" port="80" reject"

firewall-cmd --reload

解除刚才被限制的192.168.0.100

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"

firewall-cmd --reload

限制IP地址段

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.1.0/24" port protocol="tcp" port="80" reject"

firewall-cmd --reload

相关推荐
tokepson1 小时前
Mysql下载部署方法备份(Windows/Linux)
linux·服务器·windows·mysql
nbsaas-boot2 小时前
SQL Server 存储过程开发规范(公司内部模板)
java·服务器·数据库
C_心欲无痕3 小时前
Dockerfile:构建 Docker 镜像
运维·docker·容器
zz_nj3 小时前
工作的环境
linux·运维·服务器
极客先躯4 小时前
如何自动提取Git指定时间段的修改文件?Win/Linux双平台解决方案
linux·git·elasticsearch
C_心欲无痕4 小时前
nginx - 实现域名跳转的几种方式
运维·前端·nginx
suijishengchengde4 小时前
****LINUX时间同步配置*****
linux·运维
willhuo4 小时前
基于xray的匿名、授权、IP白名单代理访问研究
服务器·网络·tcp/ip
幻云20104 小时前
AI自动化编排:从入门到精通(基于Dify构建AI智能系统)
运维·人工智能·自动化
qiuqyue5 小时前
基于虹软Linux Pro SDK的多路RTSP流并发接入、解码与帧级处理实践
linux·运维·网络
热门推荐
01GitHub 镜像站点02网站改了域名,如何查找?03Linux下V2Ray安装配置指南04Labelme从安装到标注:零基础完整指南05AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南062025-04-03 Latex学习1——本地配置Latex + VScode环境07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08【踩坑笔记】50系显卡适配的 PyTorch 安装09百度网盘偷偷给电脑“降频”?10Overleaf编译超时,超出免费计划编译时限(已解决)