centos firewall详解？centos7防火墙命令

Centos下配置firewalld实现nat路由转发

firewalld介绍：

nat介绍：

1.准备两台虚拟机：nat01, nat02(centos,安装时选择安装类型，nat02需要有浏览器)

2.转发用虚拟机[nat01]准备两张网卡，一张网卡与要测试环境网络互通，一张网卡与局域网虚拟机[nat02]网络互通

3.局域网虚拟机[nat02]与转发用虚拟机网络互通，相同网段，且网关为[nat01]ip地址（修改ifcfg-eth0文件后重启网络即可）

   nat01:33.33.33.35  nat02:33.33.33.52

4.配置转发用虚拟机[nat01]：

 step1：内核参数文件sysctl.conf配置ip转发

    vi/etc/sysctl.conf

    在文本内容中添加：net.ipv4.ip_forward= 1

    保存文件后，输入命令sysctl-p生效

step2：开启firewalld.service 

    systemctl start firewalld.service#开启

    systemctl enable firewalld.service#开机自启动

step3：防火墙开启伪装IP功能

    firewall-cmd--add-masquerade--permanent#允许防火墙伪装IP

    firewall-cmd--query-masquerade#检查是否允许伪装IP

    firewall-cmd--reload#重载配置文件生效

step4：开放端口：

    firewall-cmd--zone=public--add-port=10020/tcp--permanent#开放通过tcp访问10020

    firewall-cmd--list-ports#查看开放端口

    firewall-cmd--reload#重载配置文件生效

step5：端口转发

    firewall-cmd--zone=public--add-forward-port=port=10020:proto=tcp:toport=443:toaddr=192.25.1.2--permanent

    #将10020端口的流量转发到192.25.1.2:443

    firewall-cmd--reload

    ps：zone=external针对伪装进入连接，一般用于路由转发

        --permanent永久生效

        192.25.1.2:443修改为需要访问环境的IP和开放端口

5.测试

    登录[nat02]虚拟机，进入ssh终端，wget 33.33.33.35:10020

    进入浏览器，访问：33.33.33.35:10020  --》自动跳转到环境地址，访问正常

   ps：若需要访问地址是https，则在浏览器中输入：

5招详解linux之openEuler /centos7防火墙基本使用指南

防火墙是一种管理解决方案，用于在Linux发行版中筛选数据包，它作为iptables的前端。本指南将指导你如何为服务器设置防火墙，并学习使用管理工具的基本知识。

注意：你使用的防火墙版本可能与本指南中的不同，或者你的服务器配置与指南示例有细微差异。因此，某些命令在你特定配置下可能行为不同。

防火墙中的基本概念

理解防火墙工作原理前，应熟悉几个关键概念。

区域

守护程序使用称为“区域”的实体管理规则组。区域是一组规则，根据计算机连接到网络的信任级别，定义允许的流量类型。网络接口分配给区域，以指示防火墙应允许的操作。

了解预定义区域对任何网络环境都很有帮助。从信任度最低到最高，预定义区域通常包括：

在使用防火墙时，可以通过创建规则和修改区域属性，然后将网络接口分配给合适的区域来配置规则。

永久性规则

防火墙中，规则可以作为永久规则或即时规则。默认情况下，修改当前运行的防火墙行为的规则被视为即时规则。下次启动时，规则将恢复到原始状态。大多数操作可以加上标志以指示应作为目标使用永久防火墙。这会影响重启时重新加载的规则集。这种分离允许你测试规则，出现问题时重新加载。此外，加上标志可以构建一组规则，这些规则在发出重载命令时同时应用。

安装并启用防火墙服务

firewalld默认安装在某些Linux发行版上，包括openEuler/CentOS 7的许多镜像。然而，可能需要自行安装防火墙。

验证防火墙服务是否正在运行：

修改防火墙规则

在开始修改规则之前，了解守护程序提供的默认环境和规则很重要。

浏览默认设置

通过命令，可以查看当前选择的默认区域。

验证默认区域

通过命令，可以验证接口是否与默认区域关联，以及区域允许的正常操作，如DHCP客户端和SSH远程管理。

选择适合接口的区域

除非已配置网络接口，否则在启动防火墙时，每个接口都将置于默认区域。

修改接口区域

可以在会话期间使用参数将接口与区域结合使用，允许在区域之间转换接口。修改防火墙的所有命令时，需要使用。

调整默认区域

如果所有接口由单个区域处理，则选择最佳默认区域并将其用于配置可能更方便。

使用参数更改默认区域。这将立即更改已返回默认到新区域的任何接口。

为应用程序设置规则

向区域添加服务

最简单的方法是将所需的服务或端口添加到使用的区域。使用命令可以获取可用服务列表。

例如，为Web服务器配置HTTP流量，可以通过命令允许此流量通过“公共”区域的接口。

验证操作是否成功

使用或操作验证规则是否生效。

测试规则后，可以使用命令将修改永久化。

现在，“公共”区域将允许端口80上的HTTP流量。如果Web服务器配置为使用SSL/TLS，还需要添加SSL/TLS服务。可以通过命令将其添加到当前会话和永久规则集中。

创建自定义区域

虽然预定义区域对大多数用户足够，但自定义区域可以更准确地描述其功能。

例如，创建一个名为“公共网站”的区域用于Web服务器，或为专用网络上的DNS服务创建一个名为“私有DNS”的区域。

在创建自定义区域时，必须将其添加到永久防火墙配置中，然后重新加载以将配置引入活动会话。通过命令创建上面讨论的两个区域。

验证配置是否存在于永久配置中

需要重新加载防火墙以引入新区域的配置。

在测试运行配置后，如果规则符合需求，需要将规则添加到永久配置。使用命令重新应用规则。

永久应用规则后，重启防火墙服务。

验证接口是否分配正确的区域

并验证区域是否提供相应服务。

至此，成功设置自定义区域。若要使某个区域成为其他接口的默认区域，请记得使用参数配置该行为。

总结

防火墙服务允许你配置可维护的规则和规则集，这些规则和规则集可以适应你的网络环境。通过使用区域在不同防火墙策略之间切换，管理员可以将端口管理抽象为更友好的服务。

centos出现“FirewallD is not running”怎么办

方法/步骤

执行firewall-cmd--permanent--zone=public--add-port=3306/tcp，提示FirewallD is not running，如下图所示。

通过systemctl status firewalld查看firewalld状态，发现当前是dead状态，即防火墙未开启。

通过systemctl start firewalld开启防火墙，没有任何提示即开启成功。

再次通过systemctl status firewalld查看firewalld状态，显示running即已开启了。

5

如果要关闭防火墙设置，可能通过systemctl stop firewalld这条指令来关闭该功能。

6

再次执行执行firewall-cmd--permanent--zone=public--add-port=3306/tcp，提示success，表示设置成功，这样就可以继续后面的设置了。