在 CentOS 中配置防火墙规则开放端口

在 CentOS 系统中，防火墙是保障系统网络安全的重要防线，合理配置防火墙规则开放端口对于运行网络服务至关重要。CentOS 系统从 7 版本开始，默认的防火墙管理工具从 iptables 转变为 firewalld，下面将分别介绍基于这两种工具开放端口的方法。

基于 iptables 配置

1、 检查 iptables 服务状态：在开始配置之前，首先要确认 iptables 服务的运行状态。可以通过命令service iptables status来查看。如果系统提示iptables: unrecognized service，说明 iptables 服务未安装或已被禁用，若要使用 iptables 管理防火墙，需要安装 iptables-services 软件包，使用命令yum install iptables-services进行安装，安装完成后，使用systemctl start iptables启动 iptables 服务，并使用systemctl enable iptables设置开机自启。
2、 开放单个端口：以开放 8080 端口为例，在终端输入命令iptables -A INPUT -p tcp --dport 8080 -j ACCEPT。其中，-A表示在规则链的末尾追加一条规则，INPUT是规则链名称，用于处理进入系统的数据包；-p tcp指定协议类型为 TCP，因为大部分网络服务如 HTTP、HTTPS 等基于 TCP 协议；--dport 8080表示目标端口为 8080；-j ACCEPT则表示对符合前面条件的数据包执行接受操作，即允许通过。执行此命令后，系统允许外部设备通过 TCP 协议访问本地的 8080 端口。但此时，该规则仅在当前会话有效，系统重启后规则会丢失。若要使规则永久生效，需要保存配置，使用命令/etc/init.d/iptables save。
3、 开放端口范围：如果需要开放一段端口范围，例如 49152 到 65534 端口，可以使用命令iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT。同样，执行此命令后，记得使用/etc/init.d/iptables save保存配置，以确保系统重启后规则依然有效。另外，也可以通过直接编辑/etc/sysconfig/iptables文件来开放端口。使用命令vi /etc/sysconfig/iptables打开文件，在文件中添加类似-A RH - Firewall - 1 - INPUT - m state --state NEW - m tcp - p tcp --dport 8080 - j ACCEPT的规则，其中-m state --state NEW表示匹配新建立的连接。编辑完成后，保存并退出文件，然后使用service iptables restart命令重启 iptables 服务，使新的规则生效。

基于 firewalld 配置

1、 启动与查看 firewalld 状态：确保 firewalld 服务已启动且运行正常。使用命令systemctl start firewalld启动服务，使用systemctl status firewalld或firewall - cmd --state查看服务状态。如果状态显示为active (running)，表示服务正在运行。若要设置 firewalld 开机自启，使用命令systemctl enable firewalld。
2、 查看当前开放端口：使用命令firewall - cmd --zone = public --list - ports可以查看当前 public 区域（默认区域）已开放的端口列表。例如，执行命令后输出可能为80/tcp 443/tcp，表示当前 public 区域开放了 80 端口（HTTP）和 443 端口（HTTPS）。
3、 开放单个端口：要在 public 区域开放 80 端口（以 TCP 协议为例），使用命令firewall - cmd --zone = public --add - port = 80/tcp。此命令会立即生效，但系统重启后该规则可能丢失。若要使规则永久生效，需要添加--permanent参数，即firewall - cmd --zone = public --add - port = 80/tcp --permanent。设置完成后，使用firewall - cmd --reload命令重新加载防火墙配置，使新规则生效。
4、 开放端口范围：若要开放一段端口范围，如开放 10000 到 10010 端口的 TCP 协议访问，使用命令firewall - cmd --zone = public --add - port = 10000 - 10010/tcp --permanent，然后执行firewall - cmd --reload使规则生效。在配置防火墙开放端口时，务必谨慎操作，遵循最小权限原则，仅开放实际业务所需的端口，以降低系统面临的安全风险。同时，定期审查防火墙规则，及时关闭不再使用的端口，保障系统网络安全。

拓展阅读：

1、 防火墙策略优化：学习如何根据系统实际需求，制定更优化的防火墙策略，如设置基于源 IP 地址、目的 IP 地址、时间等条件的访问控制规则，进一步提升系统安全性和网络管理效率。
2、 iptables 与 firewalld 对比：深入了解 iptables 和 firewalld 的差异，包括配置方式、性能特点、适用场景等，有助于在不同的网络环境和管理需求下，选择更合适的防火墙管理工具，更好地进行系统安全防护。
3、 网络安全漏洞防范：了解常见的网络安全漏洞类型以及如何通过防火墙配置进行防范，如防止端口扫描攻击、阻止恶意软件利用开放端口入侵系统等，增强系统的整体安全性。