firewall防火墙配置-RHEL7

RHELCentos7安装设置IP地址,DNS,主机名,防⽕墙,端⼝,SELinux（实测+笔记）环境：系统硬件：vmware vsphere (CPU：2*4核，内存2G，双⽹卡)系统版本：CentOS-7.0-1406-x86_64-DVD.iso安装步骤：1.虚拟系统安装1.1 使⽤VMware 虚拟机，读⼊ISO进⾏安装。

启动后进⾏安装界⾯1.2 选择 Install CentOS7，进⾏语⾔选择1.3 选择简体中⽂，进⼊信息摘要1.4 点击"安装位置"，选择系统需要安装到的硬盘，点击“完成”。

1.5 点击"⽹络和主机名"，进⾏⽹络设置，设为“开启”，然后点击“完成”。

1.6 在“安装信息摘要”界⾯，点击“开始安装”。

1.7 "包安装完成后"，进⾏设置ROOT密码1.8 设定好Root密码后，在“配置”界⾯，等待安装包完成安装（共297个），完成后点击“结束配置”。

1.9 提⽰完成后，点击“重启”，重新启动计算机2.系统环境2.1 更新系统[root@centos ~]# yum update -y重启[root@centos ~]# shutdown -r now2.2 查看环境[root@centos ~]# cat /etc/redhat-releaseCentOS Linux release 7.0.1406 (Core)[root@centos ~]# uname -aLinux localhost.localdomain 3.10.0-123.4.2.el7.x86_64 #1 SMP Mon Jun 30 16:09:14 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux2.3 安装常⽤的包[root@centos ~]# yum -y install vim wget lsof gcc gcc-c++ net-tools bind-utils bzip23.系统设置3.1 时间设置当前时间查看[root@centos ~]# date时间设置[root@centos ~]# date -s "2014-7-11 12:00"3.2 主机名设置当前主机名查看[root@centos ~]# hostname主机名设置[root@centos ~]# vim /etc/sysconfig/network在打开的⽂件中增加以下内容hostname tCentos7:wq 保存退出[root@centos ~]# service network restart[root@centos ~]# hostnametCentos73.3 IP设置当前IP查看 (ifconfig默认没有安装，需要安装net-tools包)[root@centos ~]# ifconfig显⽰的以下内容表⽰，当前有“ens192”及“ens224”两张⽹卡ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500inet 192.168.1.30 netmask 255.255.255.0 broadcast 192.168.1.255inet6 fe80::250:56ff:fe94:631b prefixlen 64 scopeid 0x20<link>ether 00:50:56:94:63:1b txqueuelen 1000 (Ethernet)RX packets 158 bytes 15474 (15.1 KiB)RX errors 0 dropped 7 overruns 0 frame 0TX packets 104 bytes 14836 (14.4 KiB)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0ens224: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500ether 00:50:56:94:74:3f txqueuelen 1000 (Ethernet)RX packets 86 bytes 7309 (7.1 KiB)RX errors 0 dropped 6 overruns 0 frame 0TX packets 0 bytes 0 (0.0 B)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536inet 127.0.0.1 netmask 255.0.0.0inet6 ::1 prefixlen 128 scopeid 0x10<host>loop txqueuelen 0 (Local Loopback)RX packets 0 bytes 0 (0.0 B)RX errors 0 dropped 0 overruns 0 frame 0TX packets 0 bytes 0 (0.0 B)TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0[root@centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens192　检查HWADDR是否对就MAC地址，修改以下内容 BOOTPROTO，增加IPADDR，NETMASK，GATEWAYHWADDR="00:50:56:94:63:1B"TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"PEERDNS="yes"PEERROUTES="yes"IPV4_FAILURE_FATAL="no"IPV6INIT="yes"IPV6_AUTOCONF="yes"IPV6_DEFROUTE="yes"IPV6_PEERDNS="yes"IPV6_PEERROUTES="yes"IPV6_FAILURE_FATAL="no"NAME="ens192"UUID="2d92dacb-4277-4846-ad83-c6d2a9b27e35"ONBOOT="yes"IPADDR="192.168.1.30"NETMASK="255.255.255.0"GATEWAY="192.168.1.1":wq 保存退出[root@centos ~]# service network restart[root@centos ~]#ifconfig查看修改的IP地址是否⽣效3.4 修改DNS设置当前主机名查看[root@centos ~]# vim /etc/resolv.conf在打开的⽂件中增加以下内容8.8.8.8为GoogleDNS，61.144.56.100本地DNS（不同地⽅不同）nameserver 8.8.8.8nameserver 61.144.56.100:wq 保存退出3.5 关闭SELINUX[root@centos ~]# vim /etc/selinux/config修改以下内容#SELINUX=enforcing #注释掉#SELINUXTYPE=targeted #注释掉SELINUX=disabled #增加:wq #保存退出3.6 修改防⽕墙，打开指定端⼝3.6.1 安装iptables[root@centos ~]# yum install iptables-services设置防⽕墙规则 (增加80端⼝)[root@centos ~]# vim /etc/sysconfig/iptables打开⽂件，增加80端⼝那⼀⾏*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT:wq #保存退出3.6.2 默认firewall作为防⽕墙的设置#禁⽌firewall开机启动[root@centos ~]# systemctl disable firewalld.service#设置防⽕墙开机启动[root@centos ~]# systemctl enable iptables.service#停⽌firewall[root@centos ~]# systemctl stop firewalld.service#重启防⽕墙使配置⽣效[root@centos ~]# systemctl restart iptables.service3.6.3 查看当前系统打开的端⼝[root@centos ~]# netstat -lntpActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2157/mastertcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1292/sshdtcp6 0 0 ::1:25 :::* LISTEN 2157/mastertcp6 0 0 :::22 :::* LISTEN 1292/sshd3.6.4 查看及设置SELinux查看[root@centos ~]# getenforce[root@centos ~]# setenforce 0 临时关闭[root@centos ~]# setenforce 1 临时打开[root@centos ~]# vim /etc/selinux/config 屏蔽以下内容:#SELINUX=enforcing#SELINUXTYPE=targeted增加以下内容SELINUX=disabled保存，退出[root@centos ~]# shutdown -r now。

RHEL6、7防火墙操作网络安全技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多学科的综合性学科。

解决网络安全问题的重要手段就是防火墙技术。

下面是學習啦小編收集整理的RHEL6、7防火墙操作，希望對大家有幫助~~ RHEL6、7防火墙操作(1)RHEL6防火墙设置1、临时状态、永久查询2、重启、临时关闭、永久关闭(2)RHEL7防火墙设置1、临时状态、永久查询2、重启、临时关闭、永久关闭(1)RHEL6防火墙设置11、临时状态、永久查询临时状态查询：serviceiptablesstatusserviceip6tablesstatus永久状态查询：chkconfig--list|grepiptables22、重启、临时关闭、永久关闭临时关闭、启动：serviceiptablesstop/startserviceip6tablesstop/start永久关闭、启动：chkconfig--level2345iptablesoff/onchkconfig--level2345ip6tablesoff/on(2)RHEL7防火墙设置1、临时状态、永久查询临时状态查看：systemctlstatusfirewalld永久状态查看：systemctllist-unit-files|grepfirewalld22、重启、临时关闭、永久关闭临时重启：systemctlstopfirewalld永久关闭或开启：systemctldisablefirewalldRHEL6、7防火墙操作相关文章：1.linux防火墙怎么样设置2.linux怎么样查看防火墙有没开启3.RedhatLinux7怎么用命令关闭防火墙4.redhat防火墙如何设置5.linux防火墙设置规则怎么样6.linux防火墙如何配置7.在CentOS的防火墙上开启通行端口的方法8.linux怎么查看防火墙。

CentOS7防⽕墙放⾏或限制指定IP和端⼝（firewall）CentOS7默认没有安装iptables，可以⼿动安装iptables；也可以通过CentOS7已带的firewall配置防⽕墙。

1.查看firewalld.service服务状态systemctl status firewalld2.查看firewall运⾏状态firewall-cmd --state3.⼿动启动/停⽌/重启firewalld.service服务# 启动firewalldservice firewalld start# 停⽌firewalldservice firewalld stop# 重启firewalldservice firewalld restart4.展⽰当前配置的firewall规则firewall-cmd --list-all5.端⼝（端⼝段）的查询/开放# 查询端⼝是否开放firewall-cmd --query-port=8080/tcp# 新建永久规则，开放8080端⼝（TCP协议）firewall-cmd --permanent --add-port=8080/tcp# 移除上述规则firewall-cmd --permanent --remove-port=8080/tcp# 新建永久规则，批量开放⼀段端⼝（TCP协议）firewall-cmd --permanent --add-port=9001-9100/tcp6.IP（IP段）的开放# 新建永久规则，开放192.168.1.1单个源IP的访问firewall-cmd --permanent --add-source=192.168.1.1# 新建永久规则，开放192.168.1.0/24整个源IP段的访问firewall-cmd --permanent --add-source=192.168.1.0/24# 移除上述规则firewall-cmd --permanent --remove-source=192.168.1.17.系统服务的开放# 开放http服务firewall-cmd --permanent --add-service=http# 移除上述规则firewall-cmd --permanent --remove-service=http8.⾃定义复杂规则（注意是否与已有规则冲突）# 允许指定IP访问本机8080端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'# 允许指定IP段访问本机8080-8090端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept' # 禁⽌指定IP访问本机8080端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'9.任何修改操作，配置完成后，需要重新装载firewall。

在Linux系统中，可以使用iptables和firewalld来设置防火墙规则。

iptables是Linux系统自带的防火墙工具，可以用于设置和管理网络防火墙规则。

以下是一些常见的iptables 命令：
1. 查看iptables规则：iptables -L -n
2. 清除原有规则：iptables -F
3. 设定预设规则：iptables -P INPUT DROP，iptables -P FORWARD DROP，iptables -P OUTPUT
ACCEPT
除了iptables之外，firewalld也是Linux系统常用的防火墙工具之一。

firewalld提供了一个图形化的管理界面，方便用户进行防火墙规则的设置和管理。

以下是使用firewalld设置防火墙规则的一些常见操作：
1. 启用防火墙：systemctl enable firewalld
2. 停止防火墙：systemctl stop firewalld
3. 启动防火墙：systemctl start firewalld
4. 查看防火墙状态：systemctl status firewalld
5. 添加允许规则：firewall-cmd --add-service=http --permanent
6. 删除允许规则：firewall-cmd --remove-service=http --permanent
7. 重新加载防火墙规则：firewall-cmd --reload
需要注意的是，以上命令和操作可能会因不同的Linux发行版而略有不同。

在使用之前，建议先查阅相关文档或手册以了解具体的命令和操作方式。

Redhat 7 桥接网络及防火墙设置
1、切换目录cd /etc/sysconfig/network-scripts/（这个目录是centos的网络配置目录）；
2、编辑网络配置文件vim ifcfg-enp0s3（每个人的这个文件可能不同，但前边的ifcfg-en*这个还是一样的）；
3、设置虚拟机的静态IP地址,和主机相同的网关地址。

需要设置的点：
bootproto=static
onboot=yes
ipaddr=192.168.1.110（这个是你自己决定的ip地址）
netmask=255.255.255.0
gateway=192.168.1.1
dns1=8.8.8.8
nm_controlled=no
保存退出
重启网络服务》》systemctl restart network.service
============================================ ====
查看防火墙状态。

systemctl status firewalld
临时关闭防火墙命令。

重启电脑后，防火墙自动起来。

systemctl stop firewalld
永久关闭防火墙命令。

重启后，防火墙不会自动启动。

systemctl disable firewalld
打开防火墙命令。

systemctl enable firewalld。

firewalld 添加规则firewalld是一种防火墙服务程序，它是在CentOS 7上默认安装的。

它可以允许和拒绝许多不同类型的网络流量，保护您的系统免受恶意攻击和未经授权的访问。

在这篇文章中，我们将讨论如何使用firewalld添加规则。

步骤1：启用防火墙首先，我们需要确保firewalld服务已启动并正在运行。

可以使用以下命令检查firewalld服务的状态。

sudo systemctl status firewalld此命令将显示firewalld服务的当前状态。

如果firewalld服务未启动，则可以使用以下命令启动并启用其自动启动。

sudo systemctl start firewalldsudo systemctl enable firewalld步骤2：检查防火墙规则在添加新的防火墙规则之前，我们应该查看当前的防火墙规则，以确保我们不会误删除任何现有规则。

可以使用以下命令查看当前防火墙规则：sudo firewall-cmd --list-all此命令将列出当前防火墙配置的所有规则。

步骤3：添加新规则现在，我们已准备好添加新的防火墙规则。

可以使用以下命令添加新规则：sudo firewall-cmd --add-rule=\<zone\> --protocol=\<protocol\> --destination-port=\<port number\> --permanent在上面的命令中，\<zone\>应替换为要添加规则的防火墙区域（例如，public或internal），\< protocol>应替换为协议名称（例如，tcp或udp），\<port number\>应替换为要打开的端口号。

例如，要将TCP端口8080添加到“public”区域，请运行以下命令：sudo firewall-cmd --add-rule=public --protocol=tcp --destination-port=8080 --permanent请注意，我们使用 --permanent 参数将规则保存在永久设置中。

centos7配置防火墙规则CentOS 7 使用的防火墙是firewalld，默认以及开启，通过配置防火墙规则可以实现网络访问的控制。

以下是配置CentOS 7防火墙规则的步骤：1. 查看防火墙状态：运行命令`sudo firewall-cmd --state`，如果状态是`running`，表示防火墙已经开启。

2. 停止防火墙：运行命令`sudo systemctl stop firewalld.service`，停止防火墙。

3. 禁止防火墙开机启动：运行命令`sudo systemctl disable firewalld.service`，禁止防火墙开机启动。

4. 开启防火墙：运行命令`sudo systemctl start firewalld.service`，开启防火墙。

5. 添加防火墙规则：运行命令`sudo firewall-cmd --zone=public--add-port={port_number}/tcp --permanent`添加规则，其中`{port_number}`为需要开放的端口号。

6. 重新加载防火墙配置：运行命令`sudo firewall-cmd --reload`，重新加载防火墙配置。

7. 查看防火墙规则：运行命令`sudo firewall-cmd --list-all`，查看当前防火墙规则。

8. 删除防火墙规则：运行命令`sudo firewall-cmd --zone=public --remove-port={port_number}/tcp --permanent`删除规则，其中`{port_number}`为要删除的端口号。

以上是基本的配置防火墙规则的步骤，可以根据需要自行调整规则。

firewall-cmd：rhel7中的防⽕墙设置的命令⾏⼯具firewall-cmd：防⽕墙设置的命令⾏⼯具。

语法：firewall-cmd [OPTIONS...]常见选项：-h：打印帮助信息；-V：打印版本信息；-q：退出，不⽤打印状态信息。

状态选项：--state：检查防⽕墙进程是否激活有效。

如果有效，返回0值；否则返回⾮0值。

--reload：重新加载防⽕墙规则，并保留状态信息。

当前永久配置信息将变成新的运⾏时配置信息。

--complete-reload：完全重新加载防⽕墙，甚⾄包括netfilter kernel modules也会重新加载。

当前连接也会中断，因为状态信息已经丢失。

永久选项：--permanent：使配置永久⽣效。

修改的配置信息不会⽴即⽣效，只有当服务重启、重新加载或系统重启后⽣效。

区域选项：--get-default-zone：连接、接⼝的默认区域。

--set-default-zone=zone：设置默认区域。

--get-active-zones：获取当前激活的、有效的区域。

[--permanent] --get-zones：获取预定义的区域，使⽤空格分隔。

[--permanent] --get-services：获取预定义的服务，使⽤空格分隔。

[--permanent] --get-icmptypes：获取所有的ICMP类型。

[--permanent] --get-zone-of-interface=interface：输出指定⽹卡所属的区域。

[--permanent] --get-zone-of-source=source[/mask]：输出指定源地址所属的区域。

[--permanent] --list-all-zones：列出所有的区域。

[--permanent] [--zone=zone] --list-all：罗列出所有区域。

[--permanent] [--zone=zone] --list-services：罗列出所有的服务。

RHEL7中防⽕墙的配置和使⽤⽅法RHEL7 中使⽤了firewalld代替了原来的iptables，操作设置和原来有点不同：查看防⽕墙状态：systemctl status firewalld启动防⽕墙：systemctl start firewalld停⽌防⽕墙：systemctl stop firewalld防⽕墙中的⼀切都与⼀个或者多个区域相关联，下⾯对各个区进⾏说明：Zone Description-----------------------------------------------------drop (immutable) Deny all incoming connections, outgoing ones are accepted.block (immutable) Deny all incoming connections, with ICMP host prohibited messages issued.trusted (immutable) Allow all network connectionspublic Public areas, do not trust other computersexternal For computers with masquerading enabled, protecting a local networkdmz For computers publicly accessible with restricted access.work For trusted work areashome For trusted home network connectionsinternal For internal network, restrict incoming connectionsdrop（丢弃）任何接收的⽹络数据包都被丢弃，没有任何回复。

Centos7配置防⽕墙firewall⼀、firewall1、从CentOS7开始，默认使⽤firewall来配置防⽕墙，没有安装iptables（旧版默认安装）。

2、firewall的配置⽂件是以xml的格式，存储在 /usr/lib/firewalld/ 和 /etc/firewalld/ ⽬录中。

　（1）系统配置⽬录，⽬录中存放定义好的⽹络服务和端⼝参数，系统参数，不要修改。

1 /usr/lib/firewalld/2 /usr/lib/firewalld/services3 /usr/lib/firewalld/zones　（2）⽤户配置⽬录1 /etc/firewalld/2 /etc/firewalld/services3 /etc/firewalld/zones3、特性（1）firewalld是centos7的⼀⼤特性，最⼤的好处有两个：⽀持动态更新，不中断⽤户连接加⼊了防⽕墙的“zone”概念，可以理解为 firewalld 的单位、规则集: 1 drop（丢弃），任何接受的⽹络数据包都被丢弃，没有任何回复。

仅能有发送出去的⽹路连接。

2 block（限制），任何接收的⽹络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

3 public（公共），在公共区域内使⽤，不能相信⽹络内的其他计算机不会对你的计算机造成危害，只能接收经过选取的连接。

4 external（外部），特别是为路由器启动了伪装功能的外部⽹。

你不能相信来⾃⽹络的其他计算机，不能相信他们不会对你的计算机造成危害，只能接收经过选择的连接。

5 dmz（⾮军事区），⽤于你的⾮军事区内的电脑，此区域内可公开访问，可以有限的进⼊你的内部⽹络，仅仅接收经过选择的连接。

6 work（⼯作），⽤于⼯作区。

你可以基本相信⽹络内的其他计算机不会危害到你。

CentOS7防⽕墙（firewall）的操作命令CentOS7 防⽕墙（firewall）的操作命令安装：yum install firewalld1、firewalld的基本使⽤启动： systemctl start firewalld查看状态： systemctl status firewalld禁⽤，禁⽌开机启动： systemctl disable firewalld停⽌运⾏： systemctl stop firewalld2.配置firewalld-cmd查看版本： firewall-cmd --version查看帮助： firewall-cmd --help显⽰状态： firewall-cmd --state查看所有打开的端⼝： firewall-cmd --zone=public --list-ports更新防⽕墙规则： firewall-cmd --reload更新防⽕墙规则，重启服务： firewall-cmd --completely-reload查看已激活的Zone信息: firewall-cmd --get-active-zones查看指定接⼝所属区域： firewall-cmd --get-zone-of-interface=eth0拒绝所有包：firewall-cmd --panic-on取消拒绝状态： firewall-cmd --panic-off查看是否拒绝： firewall-cmd --query-panic3.信任级别，通过Zone的值指定drop: 丢弃所有进⼊的包，⽽不给出任何响应block: 拒绝所有外部发起的连接，允许内部发起的连接public: 允许指定的进⼊连接external: 同上，对伪装的进⼊连接，⼀般⽤于路由转发dmz: 允许受限制的进⼊连接work: 允许受信任的计算机被限制的进⼊连接，类似 workgrouphome: 同上，类似 homegroupinternal: 同上，范围针对所有互联⽹⽤户trusted: 信任所有连接4.firewall开启和关闭端⼝以下都是指在public的zone下的操作，不同的Zone只要改变Zone后⾯的值就可以添加：firewall-cmd --zone=public --add-port=80/tcp --permanent （--permanent永久⽣效，没有此参数重启后失效）重新载⼊：firewall-cmd --reload查看：firewall-cmd --zone=public --query-port=80/tcp删除：firewall-cmd --zone=public --remove-port=80/tcp --permanent5.管理服务以smtp服务为例，添加到work zone添加：firewall-cmd --zone=work --add-service=smtp查看：firewall-cmd --zone=work --query-service=smtp删除：firewall-cmd --zone=work --remove-service=smtp5.配置 IP 地址伪装查看：firewall-cmd --zone=external --query-masquerade打开：firewall-cmd --zone=external --add-masquerade关闭：firewall-cmd --zone=external --remove-masquerade6.端⼝转发打开端⼝转发，⾸先需要打开IP地址伪装 firewall-cmd --zone=external --add-masquerade转发 tcp 22 端⼝⾄ 3753：firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753转发端⼝数据⾄另⼀个IP的相同端⼝：firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112转发端⼝数据⾄另⼀个IP的 3753 端⼝：firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.1126.systemctl是CentOS7的服务管理⼯具中主要的⼯具，它融合之前service和chkconfig 的功能于⼀体。