作为服务器安全的第一道防线，防火墙设置是 Linux 运维的核心技能。今天手把手教你玩转 CentOS 6/7 防火墙，从基础启停到端口精细化管理，附超详细实战范例，新手也能轻松上手！

一、防火墙服务基础操作：CentOS 6 vs 7 的区别

CentOS 7（firewalld 防火墙）

# 开启防火墙服务（开机不自动启动）

systemctl start firewalld.service

# 关闭防火墙（临时关闭，重启后恢复）

systemctl stop firewalld.service

# 重启防火墙（修改配置后必做）

service firewalld restart

CentOS 6（iptables 防火墙）

# 查看防火墙状态（关键！先确认是否运行）

service iptables status

# 开启防火墙（老旧服务器常用）

service iptables start

# 关闭防火墙（临时关闭，生产环境慎用）

service iptables stop

注意：CentOS 7 默认使用 firewalld，更灵活的图形化配置；CentOS 6 沿用 iptables，需手动编写规则，新手建议优先熟悉 firewalld。

二、不关闭防火墙！端口开放与管理实战

1. 单个端口开放（以 8080 为例）

# 永久开放端口（重启后生效）

sudo firewall-cmd --add-port=8080/tcp --permanent

# 立即生效配置（修改后必执行）

sudo firewall-cmd --reload

验证是否开放：

sudo firewall-cmd --query-port=8080/tcp  # 输出yes即成功

2. 端口区间开放（8701-8705）

sudo firewall-cmd --permanent --add-port=8701-8705/tcp  

sudo firewall-cmd --reload # 重载配置

3. 查看所有开启端口

sudo firewall-cmd --list-ports  # 输出如"8080/tcp 8701-8705/tcp"

4. 关闭指定端口

# 永久关闭1935端口（生产环境操作前请确认业务）

firewall-cmd --zone=public --remove-port=1935/tcp --permanent

sudo firewall-cmd --reload # 生效修改

端口连接排查：查看 2181 端口被哪些 IP 连接：

netstat -ano | grep 2181  # 重点看Foreign Address列

三、高级规则：精准控制特定 IP 访问

1. 允许指定 IP 访问端口（例：1.1.1.1 访问 8082）

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="1.1.1.1" port protocol="tcp" port="8082" accept'  

sudo firewall-cmd --reload # 生效规则

2. 限制所有 IP 访问端口（临时封锁 8082）

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="any" port protocol="tcp" port="8082" reject'  

sudo firewall-cmd --reload # 立即生效

3. 取消限制（恢复默认访问）

firewall-cmd --remove-port=8082/tcp --permanent  

sudo firewall-cmd --reload # 清除规则

规则逻辑解析：

• --zone=public：作用域为公共区域（默认配置）

• --permanent：永久生效，否则重启后失效

• rich-rule：高级规则，支持 IP / 端口组合条件

四、生产环境必看注意事项

1. 端口开放原则：

• 非必要端口坚决关闭（减少攻击面）

• 开放前确认业务是否需要 TCP/UDP 协议（例：MySQL 用 3306/tcp，DNS 用 53/udp）

2. 测试流程：

• 开放端口后，用本地工具（如 Postman）或远程服务器（telnet IP 端口）验证连通性

• 复杂规则建议先在测试环境演练，再同步到生产

3. 日志排查：

# 查看firewalld日志（异常连接定位）

journalctl -u firewalld

五、命令速查表（建议收藏）

掌握这些命令，就能在不影响服务器安全的前提下，灵活管理端口访问。建议新手先在虚拟机环境实操，熟悉后再应用到生产服务器。遇到问题别慌，用--query-port和日志工具逐步排查，安全配置就是这么简单！

如果觉得有用，记得点赞收藏～ 下期分享 Linux 日志分析技巧，关注我获取更多运维干货！