Centos升级到7之后，内置的防火墙已经从iptables变成了firewalld。所以，端口的开启还是要从两种情况来说明的，即iptables和firewalld。更多关于CentOs防火墙的最新内容，请参考Redhat官网。

一、iptables

1.打开/关闭/重启防火墙

开启防火墙(重启后永久生效)：@H_404_13@chkconfig iptables on

关闭防火墙(重启后永久生效)：@H_404_13@chkconfig iptables off

开启防火墙(即时生效，重启后失效)：@H_404_13@service iptables start

关闭防火墙(即时生效，重启后失效)：@H_404_13@service iptables stop

重启防火墙:@H_404_13@service iptables restartd

2.查看打开的端口

/@H_404_13@etc/@H_404_13@init.@H_404_13@d/@H_404_13@iptables status

3.打开某个端口(以8080为例)

（1）开启端口

@H_404_13@iptables -@H_404_13@A INPUT -@H_404_13@p tcp --@H_404_13@dport 8080@H_404_13@ -@H_404_13@j ACCEPT 

（2）保存并重启防火墙

/@H_404_13@etc/@H_404_13@rc.@H_404_13@d/@H_404_13@init.@H_404_13@d/@H_404_13@iptables save /@H_404_13@etc/@H_404_13@init.@H_404_13@d/@H_404_13@iptables restart

4.打开49152~65534之间的端口

@H_404_13@iptables -@H_404_13@A INPUT -@H_404_13@p tcp --@H_404_13@dport 49152:65534@H_404_13@ -@H_404_13@j ACCEPT  

同样，这里需要对设置进行保存，并重启防火墙。

5.其他打开方式

我们还可以通过修改/etc/sysconfig/iptables文件的方式开启端口，如下

@H_404_13@vi /@H_404_13@etc/@H_404_13@sysconfig/@H_404_13@iptables

然后在文件中增加一行

-@H_404_13@A RH-Firewall-1-@H_404_13@INPUT -@H_404_13@m state –@H_404_13@state NEW -@H_404_13@m tcp -@H_404_13@p tcp –@H_404_13@dport 8080@H_404_13@ -@H_404_13@j ACCEPT

参数说明:

–A 参数就看成是添加一条规则
–p 指定是什么协议，我们常用的tcp 协议，当然也有udp，例如53端口的DNS
–dport 就是目标端口，当数据从外部进入服务器为目标端口
–sport 数据从服务器出去，则为数据源端口使用
–j 就是指定是 ACCEPT -接收 或者 DROP 不接收

二、firewalld

Centos7默认安装了firewalld，如果没有安装的话，可以使用 yum install firewalld firewalld-config进行安装。

1.启动防火墙

@H_404_13@systemctl start firewalld 

2.禁用防火墙

@H_404_13@systemctl stop firewalld

3.设置开机启动

@H_404_13@systemctl enable firewalld

4.停止并禁用开机启动

@H_404_13@sytemctl disable firewalld

5.重启防火墙

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@reload

6.查看状态

@H_404_13@systemctl status firewalld或者@H_404_13@ firewall-@H_404_13@cmd --@H_404_13@state

7.查看版本

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@version

8.查看帮助

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@help

9.查看区域信息

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@get-@H_404_13@active-@H_404_13@zones

10.查看指定接口所属区域信息

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@get-@H_404_13@zone-@H_404_13@of-@H_404_13@interface=@H_404_13@eth0

11.拒绝所有包

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@panic-@H_404_13@on

12.取消拒绝状态

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@panic-@H_404_13@off

13.查看是否拒绝

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@query-@H_404_13@panic

14.将接口添加到区域(默认接口都在public)

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@zone=@H_404_13@public --@H_404_13@add-@H_404_13@interface=@H_404_13@eth0(永久生效再加上@H_404_13@ --@H_404_13@permanent 然后@H_404_13@reload防火墙)

15.设置默认接口区域

@H_404_13@firewall-@H_404_13@cmd --set-@H_404_13@default-@H_404_13@zone=@H_404_13@public(立即生效，无需重启)

16.更新防火墙规则

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@reload或@H_404_13@firewall-@H_404_13@cmd --@H_404_13@complete-@H_404_13@reload(两者的区别就是第一个无需断开连接，就是@H_404_13@firewalld特性之一动态@H_404_13@
添加规则，第二个需要断开连接，类似重启服务)

17.查看指定区域所有打开的端口

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@zone=@H_404_13@public --@H_404_13@list-@H_404_13@ports

18.在指定区域打开端口（记得重启防火墙）

@H_404_13@firewall-@H_404_13@cmd --@H_404_13@zone=@H_404_13@public --@H_404_13@add-@H_404_13@port=80/@H_404_13@tcp(永久生效再加上@H_404_13@ --@H_404_13@permanent)

说明：–zone 作用域–add-port=8080/tcp 添加端口，格式为：端口/通讯协议–permanent #永久生效，没有此参数重启后失效