Mở Port Firewalld CentOS 7

[Network Engineer]

Mở Port Firewalld CentOS 7

Hướng dẫn này sẽ hướng dẫn bạn cách mở một cổng trong tường lửa mặc định trong CentOS 7, Firewalld.

Bạn sẽ thấy rằng trong khi chúng ta có thể tự mở một cổng cụ thể, việc cho phép dựa trên các dịch vụ được xác định trước thường dễ dàng và có lợi hơn.

Mở Port cụ thể

Mở một cổng trong tường lửa khá đơn giản, trong ví dụ dưới đây, chúng tôi cho phép lưu lượng truy cập từ bất kỳ địa chỉ IP nguồn nào đến cổng TCP 100. Đầu tiên chúng tôi sửa đổi cấu hình liên tục, sau đó chúng tôi tải lại tường lửa-cmd để tải thay đổi này vào cấu hình đang chạy.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# firewall-cmd --permanent --add-port=100/tcp
success
[root@centos7 ~]# firewall-cmd --reload
success
Nếu cờ --permanent không được chỉ định, điều này sẽ chỉ thay đổi cấu hình đang chạy nhưng sẽ không được lưu.

Chúng ta có thể kiểm tra các cổng được mở trong vùng mặc định hiện tại bằng '--list-cổng.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# firewall-cmd --list-ports
100/tcp
Như mong đợi, chúng tôi thấy rằng cổng TCP 100 đang mở.

Nếu chúng ta muốn xóa một cổng, chúng ta có thể sử dụng '--remove-port =, thay vào đó.

Chúng tôi cũng có thể mở một loạt các cổng theo cùng một cách.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# firewall-cmd --permanent --add-port=200-300/tcp
success
Mở dịch vụ được xác định trước

Thay vì chỉ định thủ công số cổng để cho phép thông qua tường lửa, chúng tôi có thể sử dụng một loạt các dịch vụ được xác định trước có thể dễ dàng hơn. Ví dụ: thay vì mở cổng TCP 80, chúng ta có thể sử dụng dịch vụ 'http.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# firewall-cmd --permanent --add-service=http
success
[root@centos7 ~]# firewall-cmd --reload
success
Bây giờ nếu chúng tôi liệt kê các dịch vụ được chấp nhận thông qua tường lửa, chúng tôi sẽ thấy http được liệt kê cùng với ssh và dhcpv6-client, được cho phép theo mặc định.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# firewall-cmd --list-services
dhcpv6-client http ssh
Đây là một dịch vụ được xác định trước và có thể được tìm thấy dưới dạng tệp XML trong thư mục /usr/lib/firewalld/services/. Đây là dịch vụ http mà chúng tôi vừa sử dụng trông như thế nào.

Mã nguồn [Chọn] Expand

[root@centos7 ~]# cat /usr/lib/firewalld/services/http.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>WWW (HTTP)</short>
  <description>HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description>
  <port protocol="tcp" port="80"/>
</service>
Chúng tôi có thể tạo các dịch vụ tùy chỉnh bằng cách sao chép một trong số chúng vào thư mục / etc / Firewalld / services / và sau đó tùy chỉnh nó. Các dịch vụ trong thư mục /usr/lib/firewalld/services/ KHÔNG nên được sửa đổi, các thay đổi sẽ được sao chép vào / etc / Firewalld / services / theo sau là tải lại firewall-cmd để nhận các thay đổi.

Dịch vụ hoặc cổng thủ công?

Tại sao chúng tôi muốn sử dụng dịch vụ nếu chúng tôi chỉ có thể chỉ định cổng? Các mô-đun có thể được chỉ định trong một dịch vụ, ví dụ samba.xml tải mô-đun, nf_conntrack_netbios_ns, cho chúng tôi khi được bật, cùng với bốn cổng khác nhau, dễ dàng hơn nhiều so với việc tự mình ghi nhớ tất cả của các cổng cần thiết cho một dịch vụ.

Vẫn không phải là một fan hâm mộ của tường lửa? Đừng lo, bạn luôn có thể cài đặt ifconfig trong CentOS 7, tuy nhiên lưu ý rằng điều này được coi là không dùng nữa.

Tóm lược

Chúng tôi đã thấy rằng tường lửa trong CentOS 7 có thể được sửa đổi để mở một cổng cụ thể hoặc tốt hơn là chúng tôi có thể mở nó cho một dịch vụ.

Mặc dù các ví dụ cơ bản này chứng minh việc mở một cổng tới bất kỳ nguồn nào, nhưng điều này thường không được mong muốn. Chúng tôi có thể lọc thêm dựa trên lưu lượng nguồn với các quy tắc giàu tường lửa.