Centos升级到7之后，发现无法使用iptables控制Linuxs的端口，google之后发现Centos 7使用firewalld代替了原来的iptables。下面记录如何使用firewalld开放Linux端口：

1.快速使用说明

开启端口

#在tcp协议上开放80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
#重新加载防火墙规则
firewall-cmd --reload

开端端口区间

#在tcp协议上开放8080-8090的端口
firewall-cmd --permanent --zone=public --add-port=8080-8090/tcp 
#在udp协议上开放8080-8090的端口
firewall-cmd --permanent --zone=public --add-port=8080-8090/udp 
#重新加载防火墙规则
firewall-cmd --reload

命令含义

--zone #作用域
--add-port=80/tcp #添加端口，格式为：端口/通讯协议
--permanent #永久生效，没有此参数重启后失效

重启防火墙

firewall-cmd --reload

查询firewalld的状态

systemctl status firewalld

2.firewalld简介

firewalld是centos7的一大特性，最大的好处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的“zone”概念

firewalld有图形界面和工具界面，由于我在服务器上使用，图形界面请参照官方文档，本文以字符界面做介绍

firewalld的字符界面管理工具是 firewall-cmd 

firewalld默认配置文件有两个：/usr/lib/firewalld/ （系统配置，尽量不要修改）和 /etc/firewalld/ （用户配置地址）

zone概念

硬件防火墙默认一般有三个区，firewalld引入这一概念系统默认存在以下区域（根据文档自己理解，如果有误请指正）：

1. drop：默认丢弃所有包
2. block：拒绝所有外部连接，允许内部发起的连接
3. public：指定外部连接可以进入
4. external：这个不太明白，功能上和上面相同，允许指定的外部连接
5. dmz：和硬件防火墙一样，受限制的公共连接可以进入
6. work：工作区，概念和workgoup一样，也是指定的外部连接允许
7. home：类似家庭组
8. internal：信任所有连接

对防火墙不算太熟悉，还没想明白public、external、dmz、work、home从功能上都需要自定义允许连接，具体使用上的区别还需高人指点

3.安装firewalld

yum install firewalld firewall-config

4.firewalld常用命令

#启动：
systemctl start  firewalld
#查看状态：
systemctl status firewalld 或者 firewall-cmd --state
#停止：
systemctl disable firewalld
#禁用：
systemctl stop firewalld

5.systemctl

systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。

启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed

6.配置firewalld

#查看版本：
firewall-cmd --version
#查看帮助：
firewall-cmd --help
#查看设置：#显示状态：firewall-cmd --state#查看区域信息: firewall-cmd --get-active-zones#查看指定接口所属区域：firewall-cmd --get-zone-of-interface=eth0
#拒绝所有包：
firewall-cmd --panic-on
#取消拒绝状态：
firewall-cmd --panic-off
#查看是否拒绝：
firewall-cmd --query-panic
#更新防火墙规则：
firewall-cmd --reload
firewall-cmd --complete-reload

    两者的区别就是第一个无需断开连接，就是firewalld特性之一动态添加规则，第二个需要断开连接，类似重启服务

将接口添加到区域，默认接口都在public

firewall-cmd --zone=public --add-interface=eth0

永久生效再加上 --permanent 然后reload防火墙

设置默认接口区域

firewall-cmd --set-default-zone=public

立即生效无需重启

打开端口（貌似这个才最常用）

查看所有打开的端口：

firewall-cmd --zone=public --list-ports

加入一个端口到区域：

firewall-cmd --zone=public --add-port=8080/tcp

若要永久生效方法同上

打开一个服务

类似于将端口可视化，服务需要在配置文件中添加，/etc/firewalld 目录下有services文件夹，这个不详细说了，详情参考文档

firewall-cmd --zone=work --add-service=smtp

移除服务

firewall-cmd --zone=work --remove-service=smtp