CentOS 7中的防火墙（firewall）是一个重要的安全功能，用于管理和控制网络流量，CentOS 7默认使用firewalld来管理netfilter子系统，尽管底层仍然是通过iptables命令实现的，以下是关于CentOS 7防火墙的详细介绍：

基本操作

1、安装:yum install firewalld firewallconfig。

2、启动:systemctl start firewalld。

3、查看状态:systemctl status firewalld。

4、停止:systemctl stop firewalld。

5、禁用:systemctl disable firewalld。

配置方法

1、查看版本:firewallcmd version。

2、显示状态:firewallcmd state。

3、查看所有打开的端口:firewallcmd zone=public listports。

4、更新防火墙规则:firewallcmd reload。

5、查看已激活的区域信息:firewallcmd getactivezones。

6、查看指定接口所属区域:firewallcmd getzoneofinterface=eth0。

7、拒绝所有包:firewallcmd panicon。

8、取消拒绝状态:firewallcmd panicoff。

9、查看是否拒绝:firewallcmd querypanic。

信任级别和区域管理

1、信任级别的分类

2、配置IP地址伪装

查看:firewallcmd zone=external querymasquerade。

打开:firewallcmd zone=external addmasquerade。

关闭:firewallcmd zone=external removemasquerade。

3、端口转发

打开端口转发:firewallcmd zone=external addmasquerade。

转发tcp 22端口至3753:firewallcmd zone=external addforwardport=22:port=tcp:toport=3753。

转发端口数据至另一个IP的相同端口:firewallcmd zone=external addforwardport=port=tcp:toaddr=X.X.X.X:toport=Y。

管理服务

以SMTP服务为例，添加到work zone：

1、添加:firewallcmd zone=work addservice=smtp。

2、查看:firewallcmd zone=work queryservice=smtp。

3、删除:firewallcmd zone=work removeservice=smtp。

配置文件管理

1、查看XX区域的永久配置文件:cat /etc/firewalld/zones/XX.xml。

2、配置方法:firewallconfig是图形化工具，firewallcmd是命令行工具，对于Linux来说，大家更习惯使用命令行方式的操作，所以这里不介绍firewallconfig。

3、什么是服务?在/usr/lib/firewalld/services/目录中，还保存了另外一类配置文件，每个文件对应一项具体的网络服务，如SSH服务等。

4、自定义服务端口:假如服务器的FTP不使用默认端口21改为1121,但想通过服务的方式操作防火墙，复制模版到/etc,以便修改和调用cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/，修改模版配置vim /etc/firewalld/services/ftp.xml，重新加载防火墙配置firewallcmd reload。

FAQs

1、如何查看当前防火墙的状态？

答：可以通过以下命令查看当前防火墙的状态：

```bash

systemctl status firewalld

```

或者使用firewallcmd命令：

```bash

firewallcmd state

```

2、如何在CentOS 7中开放一个端口？

答：要在CentOS 7中开放一个端口，可以使用以下命令：

```bash

firewallcmd zone=public addport=80/tcp permanent

firewallcmd reload

```

zone=public表示在公共区域中开放端口，addport=80/tcp表示开放TCP协议的80端口，permanent表示永久生效，最后使用reload重新加载防火墙规则。