CentOS 7 下 firewalld的基本操作

这两天服务器升级,升级后发现有些服务不能用了。后来研究了一下,是因为防火墙的原因。之前调试,为了偷懒,把防火墙关了,就没启动过,现在想想裸奔了几个月,心真是大。

对外增加服务:

firewall-cmd --zone=public --add-port=80/tcp --permanent

对内设置安全区

firewall-cmd –permanent –zone=internal –change-interface=enp03s

firewall-cmd --zone=public --add-port=3306/tcp --permanent

最后,再重新加载firwalld策略

firewall-cmd --reload

以下转载:

http://qianxunclub.com/linux-centos-7-fang-huo-qiang-zhi-ju-you-ming-ling-xing-de-firewalldde-ji-ben-cao-zuo/

启动FirewallD服务:

?

1
2
systemctl enable firewalld.service #设置开机启动
systemctl start firewalld.service #开启服务

查看防火墙状态:

?

1
systemctl status firewalld

1. 区域管理

1.1. 网络区域简介

通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。有如下几种不同的初始化区域:

  • 阻塞区域(block):任何传入的网络数据包都将被阻止。
  • 工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
  • 家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
  • 公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
  • 隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
  • 信任区域(trusted):所有的网络连接都可以接受。
  • 丢弃区域(drop):任何传入的网络连接都被拒绝。
  • 内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
  • 外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

注:FirewallD的默认区域是public。

1.2. 显示支持的区域列表

?

1
firewall-cmd --get-zones

1.3. 设置为家庭区域

?

1
firewall-cmd --set-default-zone=home

1.4. 查看当前区域

?

1
firewall-cmd --get-active-zones

1.5. 设置当前区域的接口

?

1
firewall-cmd --get-zone-of-interface=enp03s

1.6. 显示所有公共区域(public)

?

1
firewall-cmd --zone=public --list-all

1.7. 临时修改网络接口(enp0s3)为内部区域(internal)

?

1
firewall-cmd --zone=internal --change-interface=enp03s

1.8. 永久修改网络接口enp03s为内部区域(internal)

?

1
firewall-cmd --permanent --zone=internal --change-interface=enp03s

2. 服务管理

2.1. 显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

?

1
firewall-cmd --get-services

2.2. 允许SSH服务通过

?

1
firewall-cmd --enable service=ssh

2.3. 禁止SSH服务通过

?

1
firewall-cmd --disable service=ssh

2.4. 打开TCP的8080端口

?

1
firewall-cmd --enable ports=8080/tcp

2.5. 临时允许Samba服务通过600秒

?

1
firewall-cmd --enable service=samba --timeout=600

2.6. 显示当前服务

?

1
firewall-cmd --list-services

2.7. 添加HTTP服务到内部区域(internal)

?

1
2
firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --reload #在不改变状态的条件下重新加载防火墙

3. 端口管理

3.1. 打开端口

?

1
2
#打开443/TCP端口
firewall-cmd --add-port=443/tcp

?

1
2
3
4
5
#永久打开3690/TCP端口
firewall-cmd --permanent --add-port=3690/tcp
#永久打开端口好像需要reload一下,临时打开好像不用,如果用了reload临时打开的端口就失效了
#其它服务也可能是这样的,这个没有测试
firewall-cmd --reload

?

1
2
#查看防火墙,添加的端口也可以看到
firewall-cmd --list-all

4. 直接模式

FirewallD包括一种直接模式,使用它可以完成一些工作,例如打开TCP协议的9999端口

?

1
2
firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPT
firewall-cmd --reload

5. 关闭服务的方法

你也可以关闭目前还不熟悉的FirewallD防火墙,而使用iptables,命令如下:

?

1
2
3
4
5
systemctl stop firewalld
systemctl disable firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables

擦干眼泪,继续工作

昨天注定是个悲伤的日子。

网上流传不会炒币的码农不是一个好码农,我也加入了,昨天中央发文严管ICO和虚拟货币,所有虚拟货币在半小时内价格一落千丈,跌掉20%以上的比比皆是,我相信是哀鸿遍野了。韭菜党估计已经早就开始割了。今早还有同学发来贺电,说老外昨晚好不容易把价格救上来一些,昨晚哭了一晚的韭菜党早上又开始割了,价格继续下跌,慢慢接着哭吧。

还有一件事就是昨天发现博客不能访问了,到邮箱里面看到催缴费的邮件,续费完发现还是找不到我的服务器,提了ticket后,工作人员说服务器已经删除,无法再恢复。虽然一个人絮絮叨叨的自说自话,也没多少人看,这可是俺写了10多年的博客啊。翻箱倒柜,总算找到一个3月份的数据备份,最后几篇也找不到了。前不久博客被鬼子黑过,插入了木马,google的所有的链接都被变成了他们的广告,正好备份了网站文件。把这两个加一起基本恢复到了3月份的状态,也算是不幸中的万幸。

放上中岛美嘉的雪の華、经历了多少不甘之后还能站出来在舞台上用自己沙哑的声音重新演绎自己的前半生。不幸又能怎么样,擦干眼泪,大不了重新再来。

 

雪の華-中島美嘉

のびた人陰(かげ)を舗道にならべ
不断延伸的影子 在红砖道上并列
夕闇のなかを君と歩いてる
在深夜里与你并肩走着
手をつないでいつまでもずっと
永远紧紧牵着手
そばにいれたなら
只要能在你身旁
泣けちゃうくらい
我就感动得快要哭了
風が冷たくなって
风儿变得寒冷
冬の匂いがした
有了冬天的味道
そろそろこの街に
这条街也即将到了
君と近付ける季節がくる
能和你接近的季节来临
今年、最初の雪の華を
今年 最初的雪花
ふたり寄り添って
向我俩靠近
眺めているこの瞬間(とき)に
在眺望着的这个瞬间里(时间)
幸せがあふれだす
充满了幸福的喜悦
甘えとか弱さじゃない
没有撒娇和脆弱
ただ、君を愛してる
只是 爱你
心からそう思った
打从心底爱你
君がいるとどんなことでも
只要有你在 无论发生什么
乗りきれるような気持ちになってる
都会有可以克服的心情
こんな日々がいつまでもきっと
我祈祷着 这样的日子
続いてくことを祈っているよ
一定会直到永远
風が窓を揺らした
风儿吹的窗摇
夜は揺り起こして
把夜晚摇醒
どんな悲しいことも
无论多么悲伤的事情
僕が笑顔へと変えてあげる
我用笑容为你改变
舞い落ちてきた雪の華が
雪花飞舞飘落
窓の外ずっと
在窗外一定
降りやむことを知らずに
不知何时雪已停
僕らの街を染める
把我们的街道染色
誰かのために何かを
为某人想做
したいと思えるのが
些什么事
愛ということを知った
原来 这就是爱
もし、君を失ったとしたなら
如果 失去了你
星になって君を照らすだろう
我会变成星星照亮你
笑顔も涙に濡れてる夜も
微笑或被泪水沾湿的夜晚
いつもいつでもそばにいるよ
我会永远在你身旁
今年、最初の雪の華を
今年 最初的雪花
ふたり寄り添って
向我俩靠近
眺めているこの瞬間(とき)に
在眺望着的这个瞬间里
幸せがあふれだす
充满了幸福的喜悦
甘えとか弱さじゃない
没有撒娇和脆弱
ただ、君とずっと
只是 想永远地
このまま一緒にいたい
就这么一直在一起
素直にそう思える
我真心地这么想
この街に降り積もってく
在这条街上堆积的
真っ白な雪の華
纯白雪花
ふたりの胸にそっと想い出を描くよ
悄悄地在我俩胸口画上回忆
これからも君とずっと…
从今而后也要永远和你在一起