游乐游手机版
首页/编程语言/文章详情

Stream8防火墙规则设置方法

时间:2026-06-19 06:40
CentOSStream8使用firewalld管理防火墙,支持动态更新规则。核心功能包括区域管理、端口 服务控制及富规则。操作涵盖安装启动、状态检查、配置默认区域、开放端口与服务、设置IP访问限制,以及重载配置生效。

CentOS Stream 8 的防火墙管理,核心工具就是 firewalld。这款动态防火墙守护进程最大的优势在于支持热更新规则,修改配置后无需重启服务即可立即生效,对生产环境非常友好。其核心玩法涵盖区域管理、端口与服务控制、富规则等高级功能。接下来,我们逐步讲解具体操作步骤。

stream8如何设置防火墙规则

1. 安装与启动 firewalld

如果系统中尚未安装 firewalld,执行以下命令即可完成部署:

sudo dnf install firewalld

安装完成后,启动服务并将其设置为开机自启动:

sudo systemctl start firewalld    # 启动 firewalld 服务
sudo systemctl enable firewalld   # 配置开机自动启动

2. 检查防火墙状态

首先确认服务是否正常运行。通过下面两条命令可以清晰查看:

  • 查看 firewalld 运行状态(确认是否为 active (running)):
    sudo systemctl status firewalld
  • 查看当前防火墙整体状态(是否处于启用状态):
    sudo firewall-cmd --state

3. 管理区域(Zone)

区域是 firewalld 中一个核心概念,简单来说就是为不同网络环境设置差异化的安全级别。例如 public(公共区域)、private(私有区域)、trusted(信任区域)等。常用操作包括:

  • 查看当前默认区域:
    sudo firewall-cmd --get-default-zone
  • 设置默认区域(例如更改为 public):
    sudo firewall-cmd --set-default-zone=public
  • 查看哪些区域处于活动状态,以及它们绑定了哪个网络接口:
    sudo firewall-cmd --get-active-zones
    sudo firewall-cmd --get-zone-of-interface=eth0   # 查看 eth0 接口归属于哪个区域
  • 将某个接口绑定到指定区域(例如将 eth0 绑定到 public 区域):
    sudo firewall-cmd --zone=public --change-interface=eth0 --permanent
    sudo firewall-cmd --reload

4. 配置端口与服务规则

4.1 管理端口

  • 查看当前所有已开放的端口:
    sudo firewall-cmd --zone=public --list-ports
  • 临时开放某个端口(例如 8080/tcp),立即生效但重启后失效:
    sudo firewall-cmd --add-port=8080/tcp
  • 永久开放端口,需要重载配置后才能生效:
    sudo firewall-cmd --permanent --add-port=8080/tcp
    sudo firewall-cmd --reload
  • 删除端口规则(例如关闭 8080/tcp 端口):
    sudo firewall-cmd --permanent --remove-port=8080/tcp
    sudo firewall-cmd --reload

4.2 管理服务

firewalld 预置了许多常见服务的规则,例如 httpsshmysql 等,直接使用服务名进行管理比手动配置端口更加便捷:

  • 查看当前允许的服务列表:
    sudo firewall-cmd --list-services
  • 临时允许某个服务(例如 http 服务):
    sudo firewall-cmd --add-service=http
  • 永久允许服务:
    sudo firewall-cmd --permanent --add-service=http
    sudo firewall-cmd --reload
  • 移除服务规则:
    sudo firewall-cmd --remove-service=http

5. 配置富规则(Rich Rules)

当基础规则无法满足精细化管控需求时,富规则便派上用场。它支持更灵活的策略,例如允许或拒绝特定 IP、端口或协议,语法相对灵活。以下为几个常用场景:

  • 允许特定 IP 访问某端口(例如仅允许 192.168.1.100 访问 3306/tcp):
    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="3306" protocol="tcp" accept'
    sudo firewall-cmd --reload
  • 拒绝特定 IP 访问所有端口(例如封禁 192.168.1.200):
    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.200" reject'
    sudo firewall-cmd --reload
  • 允许某网段访问某服务(例如允许 192.168.1.0/24 整个网段使用 ssh 服务):
    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
    sudo firewall-cmd --reload

6. 其他实用操作

  • 查看所有防火墙规则(端口、服务、富规则一目了然):
    sudo firewall-cmd --list-all
  • 重载防火墙配置,使永久规则生效,且不会中断现有连接:
    sudo firewall-cmd --reload
  • 完全重载配置,此操作会中断现有连接,一般情况下请谨慎使用:
    sudo firewall-cmd --complete-reload
  • 临时关闭防火墙(生产环境不建议执行此操作):
    sudo systemctl stop firewalld

注意事项

  • 备份规则:在进行修改之前,建议先备份当前配置,例如使用 sudo firewall-cmd --list-all > firewall-backup.txt
  • 测试规则:尤其是在生产环境中,规则修改后应先通过测试环境验证,确认无误后再正式上线。
  • 安全性:遵循最小权限原则——仅开放必要的端口,每少开一个端口就降低一分风险。

以上操作基本覆盖了 CentOS Stream 8 防火墙的核心配置需求,具体如何应用可根据实际场景灵活调整。

来源:https://www.yisu.com/ask/75417350.html
上一篇stream8升级到最新版教程 下一篇CentOS Java资源共享配置方法
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
深入解析 TransactionProxyFactoryBean 功能实现与实战案例
编程语言 · 2026-07-02

深入解析 TransactionProxyFactoryBean 功能实现与实战案例

本文通过一个订单处理系统的实际案例,探讨了Spring框架中TransactionProxyFactoryBean的功能实现。文章分析了其如何通过代理模式为普通JavaBean添加声明式事务管理能力,详细阐述了其配置方式、内部工作机制,包括如何创建AOP代理以及如何与PlatformTransactionManager协作。最后,通过对比现代基于注解的事务管

TransactionProxyFactoryBean 在 Java 编程中的应用与配置详解
编程语言 · 2026-07-02

TransactionProxyFactoryBean 在 Java 编程中的应用与配置详解

本文探讨了TransactionProxyFactoryBean在Spring框架中的应用,重点解析其作为声明式事务管理核心组件的工作原理。文章阐述了该工厂Bean如何通过AOP代理机制为目标对象自动添加事务边界,详细说明了其关键配置属性如事务管理器、事务属性及目标对象的设置方法,并分析了其内部代理创建流程。最后,讨论了其优势与在现代Spring应用中的演进

WebService实战案例详解与应用场景解析
编程语言 · 2026-07-02

WebService实战案例详解与应用场景解析

本文通过一个具体的订单查询案例,深入解析WebService的核心概念与实战应用。内容涵盖WebService的基本原理、使用Java和CXF框架构建服务端与客户端的完整步骤,以及XML数据绑定、服务发布与调用等关键技术细节。旨在为开发者提供清晰、实用的WebService开发指导,帮助理解其在实际项目中的集成与通信机制。

HttpClient与其他HTTP库性能功能对比分析
编程语言 · 2026-07-02

HttpClient与其他HTTP库性能功能对比分析

在Java开发中,处理HTTP请求有多种库可选,其中ApacheHttpClient以其成熟稳定著称。本文对比分析了HttpClient与其他主流HTTP库(如JDK原生HttpURLConnection、OkHttp、SpringRestTemplate及Retrofit)在功能特性、性能表现、易用性及适用场景上的差异,旨在帮助开发者根据项目需求,如对连接

MemSQL数据库实战应用案例深度解析
编程语言 · 2026-07-02

MemSQL数据库实战应用案例深度解析

本文探讨了MemSQL在实时分析场景中的实战应用。通过剖析一个典型的电商实时用户行为分析项目案例,阐述了MemSQL如何利用其混合事务 分析处理能力、内存优化与列式存储特性,高效处理高并发数据流与复杂查询。文章重点介绍了技术选型考量、架构设计、性能优化策略及实际效果,为面临类似实时数据处理挑战的项目提供参考。