如何在CentOS中配置防火墙端口？

CentOS防火墙端口管理详解

一、CentOS防火墙

在CentOS 7及更高版本中，防火墙的管理工具从iptables变更为firewalld，firewalld提供了更动态的管理和更友好的命令行工具firewall-cmd，本文将详细讲解如何使用firewalld管理防火墙规则和端口。

二、基本命令

1. 启动/停止/重启防火墙服务

2. 查看防火墙状态

firewall-cmd --state

3. 查看防火墙已有规则列表

firewall-cmd --list-all

4. 查看指定区域的所有打开端口

firewall-cmd --zone=public --list-ports

三、添加和移除端口

1. 添加单个端口

添加8080端口（TCP协议）：

firewall-cmd --permanent --add-port=8080/tcp

添加8080端口（TCP协议）到特定区域：

firewall-cmd --zone=public --permanent --add-port=8080/tcp

2. 添加多个端口或端口范围

添加多个端口（例如8080和8443）：

firewall-cmd --permanent --add-port=8080/tcp --permanent --add-port=8443/tcp

添加一个端口范围（例如20000到30000）：

firewall-cmd --permanent --add-port=20000-30000/tcp

3. 移除端口

移除8080端口：

firewall-cmd --permanent --remove-port=8080/tcp

4. 刷新规则

执行上述添加或移除操作后，需重新加载防火墙规则：

firewall-cmd --reload

四、查询端口是否开放

查询某个端口是否开放：

firewall-cmd --query-port=8080/tcp

如果返回yes，则表示端口已开放；返回no，则表示端口未开放。

五、其他常见操作

1. 开放特定IP地址的访问权限

允许192.168.1.1访问：

firewall-cmd --permanent --add-source=192.168.1.1

允许整个子网访问：

firewall-cmd --permanent --add-source=192.168.1.0/24

2. 移除特定IP地址的访问权限

移除192.168.1.1的访问权限：

firewall-cmd --permanent --remove-source=192.168.1.1

3. 开放HTTP服务

开放HTTP服务：

firewall-cmd --permanent --add-service=http

开放HTTPS服务：

firewall-cmd --permanent --add-service=https

4. 自定义复杂规则

允许指定IP访问本机8080端口：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'

禁止指定IP访问本机8080端口：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'

六、相关问题与解答

问题1: 如何永久关闭CentOS防火墙？

解答: 要永久关闭CentOS防火墙，可以使用以下命令：

systemctl stop firewalld.service
systemctl disable firewalld.service

这些命令会立即停止防火墙服务并禁用开机启动。

问题2: 如何更改防火墙的默认区域？

解答: 要更改防火墙的默认区域，可以使用以下命令：

firewall-cmd --set-default-zone=<new_zone>

将默认区域设置为drop：

firewall-cmd --set-default-zone=drop

各位小伙伴们，我刚刚为大家分享了有关“centos防火墙端口”的知识，希望对你们有所帮助。如果您还有其他相关问题需要解决，欢迎随时提出哦！