centos防火墙恢复怎么进行

CentOS 防火墙恢复操作指南

一、快速恢复步骤

确认防火墙引擎：CentOS 7/8 默认使用 firewalld；CentOS 6 使用 iptables。
启动与开机自启（firewalld）：执行 sudo systemctl start firewalld 立即启动；执行 sudo systemctl enable firewalld 设置开机自启。
启动与开机自启（iptables）：执行 sudo service iptables start 启动；执行 sudo chkconfig iptables on 设置开机自启。
验证状态：firewalld 用 sudo firewall-cmd --state（应返回 running）或 systemctl status firewalld；iptables 用 sudo service iptables status。
使配置生效：firewalld 新增/修改规则后执行 sudo firewall-cmd --reload 以应用。

二、按版本区分的操作要点

目标	CentOS 7/8（firewalld）	CentOS 6（iptables）
启动服务	`sudo systemctl start firewalld`	`sudo service iptables start`
开机自启	`sudo systemctl enable firewalld`	`sudo chkconfig iptables on`
临时关闭	`sudo systemctl stop firewalld`	`sudo service iptables stop`
永久关闭	`sudo systemctl disable firewalld`	`sudo chkconfig iptables off`
状态检查	`firewall-cmd --state` 或 `systemctl status firewalld`	`service iptables status`
规则重载	`firewall-cmd --reload`	`service iptables restart`

三、常见故障排查

服务无法启动并提示 “Unit is masked”：执行 sudo systemctl unmask firewalld 后再 sudo systemctl start firewalld。
服务未运行：用 systemctl status firewalld 查看；若未运行，执行 sudo systemctl start firewalld。
依赖异常：确认 DBus 与 Polkit 正常（systemctl status dbus、systemctl status polkitd）。
规则异常：用 firewall-cmd --list-all 检查当前规则；必要时 firewall-cmd --reload。
配置/二进制损坏：检查 /usr/lib/firewalld/services 并考虑 yum reinstall firewalld。
查看日志定位问题：journalctl -xe。

四、常用恢复后配置示例

开放端口（立即并永久生效）：sudo firewall-cmd --zone=public --add-port=80/tcp --permanent && sudo firewall-cmd --reload。
关闭端口：sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent && sudo firewall-cmd --reload。
放行常用服务（如 ssh）：sudo firewall-cmd --add-service=ssh --permanent && sudo firewall-cmd --reload。
查询端口/服务是否已放行：firewall-cmd --query-port=80/tcp、firewall-cmd --query-service=ssh。

五、安全提示

不建议长期完全关闭防火墙；应仅放行必需端口/服务，并优先使用 firewalld 的 zone、service、port 管理。
生产环境变更前先备份规则，变更后及时 firewall-cmd --reload 并验证。
若曾使用 setenforce 0 降低 SELinux 限制，恢复后建议 setenforce 1 或恢复 /etc/selinux/config 的 SELINUX=enforcing 配置。

最新问答