centos7的防火墻分兩種，一種是firewall，另一種是iptables，這兩種的配置方式不同。iptables可以配置的規(guī)則過于精細(xì)，功能十分強(qiáng)大，這里不細(xì)說。

1.firewall

1.1基本操作

啟動(dòng)防火墻 systemctl start firewalld
關(guān)閉防火墻 systemctl stop firewalld
查看防火墻運(yùn)行狀態(tài) systemctl status firewalld
查看防火墻當(dāng)前規(guī)則 firewall-cmd --list-all
重載防護(hù)墻 firewall-cmd –reload

1.2期望的防火墻效果

• 對(duì)所有IP開放所有端口

只需要關(guān)閉防火墻即可。

• 對(duì)所有IP開放指定端口

firewall-cmd --zone=public --add-port=80/tcp --permanent

把上面命令的80替換成你想要開放的端口即可。

• 對(duì)指定IP開放所有端口

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" accept'

• 對(duì)指定IP開放指定端口

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090" accept'

• 對(duì)指定IP段開放指定端口

只需要在上面命令中的IP部分后面添加子網(wǎng)掩碼的位數(shù)，同時(shí)將最后IP最后一部分改成0即可。如：source address="192.168.163.0/24"
子網(wǎng)掩碼中
255.255.255.0對(duì)應(yīng)24
255.255.0.0對(duì)應(yīng)16
具體的轉(zhuǎn)換機(jī)制可以直接百度搜子網(wǎng)掩碼轉(zhuǎn)換器

• 開放指定范圍的端口

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090-10000" accept'

• 移除規(guī)則

--add-port添加的規(guī)則使用--remove-port來移除
--add-rich-rule添加的規(guī)則使用--remove-rich-rule來移除
如：

firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.163.130" port protocol="tcp" port="9090" accept'