目录
目标
先阻止所有IP访问服务器A的9002,再允许特定IP可以访问A的9002
思路
- 启用防火墙。
- 关闭端口访问,
- 默认应用无法直接访问。设置特定ip可以访问特定端口。
直接说办法
1、首先查看防火墙是否开启
//查看防火墙状态systemctlstatusfirewalld//开启防火墙systemctlstartfirewalld//开机启动systemctlenablefirewalld//开机关闭systemctldisablefirewalld
2、关闭端口访问
//查询打开的端口firewall-cmd--zone=public--list-ports//关闭端口9002firewall-cmd--zone=public--remove-port=9002/tcp--permanent//重新载入一下防火墙设置,使设置生效firewall-cmd--reload
3、开放ip访问
//允许ip172.27.0.45访问9002端口firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="172.27.0.45"portprotocol="tcp"port="9002"accept"//重新载入一下防火墙设置,使设置生效firewall-cmd--reload//查看已设置规则firewall-cmd--zone=public--list-rich-rules
其他注意事项
1、Centos7使用firewalld而不是iptables,iptables是Centos6版本使用的,
2、直接编辑规则文件
vim/etc/firewalld/zones/public.xml
Ubuntu系统中的默认public.xml配置文件位于/usr/lib/firewalld/zones
3、Failedtostartfirewalld.service:Unitismasked如何解决
systemctlunmaskfirewalld.servicesystemctlstartfirewalld.servciefirewall-cmd--state
4、其他参考命令一
怎么开启一个端口呢
添加
firewall-cmd--zone=public--add-port=80/tcp--permanent(–permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd--reload
查看
firewall-cmd--zone=public--query-port=80/tcp
删除
firewall-cmd--zone=public--remove-port=80/tcp--permanentsystemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctlstartfirewalld.service
关闭一个服务:systemctlstopfirewalld.service
重启一个服务:systemctlrestartfirewalld.service
显示一个服务的状态:systemctlstatusfirewalld.service
在开机时启用一个服务:systemctlenablefirewalld.service
在开机时禁用一个服务:systemctldisablefirewalld.service
查看服务是否开机启动:systemctlis-enabledfirewalld.service
查看已启动的服务列表:systemctllist-unit-files|grepenabled
查看启动失败的服务列表:systemctl--failed配置firewalld-cmd
查看版本:firewall-cmd--version
查看帮助:firewall-cmd--help
显示状态:firewall-cmd--state
查看所有打开的端口:firewall-cmd--zone=public--list-ports
更新防火墙规则:firewall-cmd--reload
查看区域信息:firewall-cmd--get-active-zones
查看指定接口所属区域:firewall-cmd--get-zone-of-interface=eth0
拒绝所有包:firewall-cmd--panic-on
取消拒绝状态:firewall-cmd--panic-off
查看是否拒绝:firewall-cmd--query-panic
5、其他参考命令二
查看防火墙清单
firewall-cmd--list-all开放或限制端口(端口开放,所有ip都可以访问)
#开放9002端口
firewall-cmd--zone=public--add-port=9002/tcp--permanent
#通过如下命令查看9002是否生效
firewall-cmd--zone=public--query-port=9002/tcp
#关掉刚刚打开的9002端口
firewall-cmd--zone=public--remove-port=9002/tcp--permanent批量开放或限制端口
批量开放端口,如从9002到9005这之间的端口我们全部要打开
firewall-cmd--zone=public--add-port=9002-9005/tcp--permanent
firewall-cmd--reload批量限制端口为
firewall-cmd--zone=public--remove-port=9002-9005/tcp--permanent
firewall-cmd--reload开放或限制ip(设置规则)
开放IP为172.27.0.0的地址允许访问9002端口
firewall-cmd--permanent--add-rich-rule=“rulefamily=“ipv4”sourceaddress=“172.27.0.0”portprotocol=“tcp”port=“9002”accept”限制IP为172.27.0.0的地址禁止访问9002端口即禁止访问机器
firewall-cmd--permanent--add-rich-rule=“rulefamily=“ipv4”sourceaddress=“172.27.0.0”portprotocol=“tcp”port=“9002”reject”删除已设置规则
firewall-cmd--permanent--remove-rich-rule=“rulefamily=“ipv4”sourceaddress=”192.168.0.0"portprotocol=“tcp”port=“9001”accept"