CentOS Stream 8防火墙配置方法

CentOS Stream 8防火墙配置方法（基于firewalld）

1. 安装与启动firewalld

CentOS Stream 8默认使用firewalld作为防火墙管理工具。若未安装，可通过以下命令安装：
sudo dnf install firewalld
安装完成后，启动服务并设置开机自启：
sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 查看防火墙状态

• 检查firewalld运行状态：
  sudo firewall-cmd --state（返回running表示正在运行）
• 查看默认区域：
  sudo firewall-cmd --get-default-zone（默认区域通常为public）
• 查看活动区域及绑定的接口：
  sudo firewall-cmd --get-active-zones

3. 区域（Zone）管理

区域是firewalld的核心概念，用于定义不同网络环境的安全策略（如public、home、internal等）。

• 设置默认区域（新接口将自动应用此区域）：
  sudo firewall-cmd --set-default-zone=public
• 查看所有可用区域：
  sudo firewall-cmd --get-zones
• 将指定接口（如eth0）绑定到特定区域（临时生效，需重载永久生效）：
  sudo firewall-cmd --zone=public --change-interface=eth0

4. 端口与服务管理

4.1 端口管理

• 临时开放端口（立即生效，重启后失效）：
  sudo firewall-cmd --zone=public --add-port=8080/tcp（开放TCP协议的8080端口）
• 永久开放端口（需重载配置）：
  sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
• 关闭端口：
  sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
• 查看开放端口：
  sudo firewall-cmd --zone=public --list-ports

4.2 服务管理

firewalld预定义了常见服务（如http、ssh、mysql）的规则，可直接通过服务名管理：

• 临时允许服务：
  sudo firewall-cmd --zone=public --add-service=http
• 永久允许服务：
  sudo firewall-cmd --zone=public --add-service=https --permanent
• 移除服务规则：
  sudo firewall-cmd --zone=public --remove-service=mysql
• 查看允许的服务：
  sudo firewall-cmd --zone=public --list-services

注意：修改配置后需重载防火墙使更改生效：
sudo firewall-cmd --reload

5. 富规则（Rich Rules）配置

富规则用于实现更复杂的访问控制（如允许/拒绝特定IP访问某端口）。

• 允许特定IP访问SSH（端口22）：
  sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="22" protocol="tcp" accept'
• 拒绝特定IP段访问HTTP（端口80）：
  sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.2.0/24" port port="80" protocol="tcp" reject'
• 查看所有富规则：
  sudo firewall-cmd --list-rich-rules

提示：富规则需使用--permanent参数永久保存，否则重启后失效。

6. 关闭防火墙（谨慎使用）

若需临时关闭防火墙（不推荐生产环境）：
sudo systemctl stop firewalld
若需永久禁用防火墙开机自启：
sudo systemctl disable firewalld。