CentOS7 已经内置了 firewalld 防火墙,用来替代之前的 iptables 基本操作,作为 Linux 的基本工具,有必要来了解一下 firewalld 的基本使用。
firewalld基本操作:
# 启动
systemctl start firewalld
# 关闭
systemctl stop firewalld
# 状态
systemctl status firewalld
# 开机启用
systemctl enable firewalld
# 开机禁用
systemctl disable firewalld
firewall-cmd规则配置
开放端口
我们永久开放 3388 端口并使其生效。
# 开放3388端口 --permanent 重启不会失效
firewall-cmd --zone=public --add-port=3388/tcp --permanent
# 重载使生效, 所有规则修改都需要重载生效,后面省略
firewall-cmd --reload
# 确认是否生效
firewall-cmd --zone=public --query-port=3388/tcp
查看当前系统开放的端口
firewall-cmd --zone=public --list-ports
批量开放端口
打开从1000到2000的端口。
firewall-cmd --zone=public --add-port=1000-2000/tcp --permanent
关闭打开的端口
单个/批量关闭已打开的端口。
# 关闭3388端口
firewall-cmd --zone=public --remove-port=3388/tcp --permanent
# 批量关闭1000-2000端口
firewall-cmd --zone=public --remove-port=1000-2000/tcp --permanent
限制IP访问
单个限制,或者限制IP段。
# 拒绝111.111.0.200访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.200" port protocol="tcp" port="80" reject"
# 拒绝111.111.0.0到111.111.0.255这个IP段访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.0/24" port protocol="tcp" port="80" reject"
# 查看以设置的限制规则
firewall-cmd --zone=public --list-rich-rules
解除IP限制
解除 IP 或者 IP段 访问限制。
# 接受111.111.0.200访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.200" port protocol="tcp" port="80" accept"
# 111.111.0.0到111.111.0.255这个IP段访问80端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="111.111.0.0/24" port protocol="tcp" port="80" accept"
关于IP段如何设置,这里有一份16-30位网络号-掩码位数,IP总数,子网掩码查询表供参考:
16-30位网络号-掩码位数,IP总数,子网掩码查询表
| 掩码位数 | IP数 | 子网掩码 | C段个数 |
|---|---|---|---|
| /30 | 4 | 255.255.255.252 | 1/64 |
| /29 | 8 | 255.255.255.248 | 1/32 |
| /28 | 16 | 255.255.255.240 | 1/16 |
| /27 | 32 | 255.255.255.224 | 1/8 |
| /26 | 64 | 255.255.255.192 | 1/4 |
| /24 | 256 | 255.255.255.0 | 1 |
| /23 | 512 | 255.255.254.0 | 2 |
| /22 | 1024 | 255.255.252.0 | 4 |
| /21 | 2048 | 255.255.248.0 | 8 |
| /20 | 4096 | 255.255.240.0 | 16 |
| /19 | 8192 | 255.255.224.0 | 32 |
| /18 | 16384 | 255.255.192.0 | 64 |
| /17 | 32768 | 255.255.128.0 | 128 |
| /16 | 65536 | 255.255.0.0 | 256 |
参考文章:网络号 IP地址 子网掩码如何计算