Centos7中的防火墙firewalld的奇巧之处

ziluopao

众所周知centos7的防火墙改成了firewalld了,原来的iptables已被取消了,当然也可以装回来,这里就不探讨iptables了
但是发现firewalld的配置还是有很多地方没有实例的,
比如现在想改ssh的端口为2222,改完后,必须让firewalld放行此端口,那么问题来了,如何放行呢,如何配呢
注意此帖不讨论iptables,谢谢配合!

mingyuejingque

加入http服务、1935/tcp端口到列表，你懂的。

firewall-cmd  --permanent --zone=public --add-service=http
firewall-cmd  --permanent --zone=public --add-port=1935/tcp
firewall-cmd  --reload
firewall-cmd --list-all

chenyx

据说firewalld的实质还是iptables，没仔细研究过。
2楼那个第二行的规则就是端口放行的规则，楼主照着改动下就可以了

ziluopao

试了二楼的,似乎缺了点什么,不行,但是思路是对的,二楼再加一把力

cu_shell

回复 3# chenyx


改动确实挺大的，好像都改用长选项参数了，就像grep里的--color=auto一样。
不像以前直接用短参数，这样也有好处，更容易理解参数的含义了。

qq58945591

回复 4# ziluopao


    2楼说的不全面，你只修改了端口，加入了防火墙规则，但最重要的一点就是，你的selinux阻止了

     简单处理就是关闭selinux .

    但通常我不建议关闭selinux，只需要用semanage添加你修改过的ssh端口。否则，你的ssh服务可能连启动都启动不了.

ziluopao

qq58945591 发表于 2015-04-20 21:18
回复 4# ziluopao

能不能来点具体命令呢

qq58945591

回复 7# ziluopao

1. semanage port -a -t ssh_port_t -p tcp 2222

复制代码

比如你修改了端口为2222，需要给加到selinux 的端口策略里，否则你连服务都无法启动的。同理，你任何监听端口非默认服务的，都必须要做此操作，selinux   context值要对应服务.

a5525510

回复 6# qq58945591




semange prot -l | grep 5000，查询出5000端口被占用了，我想问一下，占用端口的“commplex_main_port_t”是什么？
  
我想把5000端口，用于别的程序，如何删除或者修改“commplex_main_port_t”。我删除的时候提示失败

[root@controller ~]# semanage port -d -t commplex_main_port_t -p tcp 5000
ValueError: Port tcp/5000 is defined in policy, cannot be deleted