CentOS防火墙管理指南：查看与关闭操作详解

引言

在CentOS系统中，防火墙是保障服务器安全的第一道防线。合理配置和管理防火墙规则，既能有效抵御外部攻击，又能确保合法服务的正常运行。然而，在某些开发或测试场景下，可能需要临时或永久关闭防火墙。本文将详细介绍在CentOS系统中如何查看防火墙状态、配置规则，以及如何安全关闭防火墙。

一、CentOS防火墙概述

CentOS系统主要使用两种防火墙工具：

1. firewalld：CentOS 7及以后版本默认的动态防火墙管理器
2. iptables：传统的静态防火墙工具，在CentOS 6中广泛使用

1.1 firewalld特点

• 动态管理：支持运行时修改规则而无需重启
• 区域概念：将网络接口分配到不同区域，每个区域有独立规则
• 服务支持：预定义常见服务的规则模板

1.2 iptables特点

• 静态规则：修改后需要重新加载或重启
• 链式结构：基于INPUT、OUTPUT、FORWARD等链处理数据包
• 灵活性强：可实现复杂规则配置

二、查看防火墙状态

2.1 使用firewalld查看

# 查看firewalld状态
systemctl status firewalld
# 查看活动区域和接口分配
firewall-cmd --get-active-zones
# 查看默认区域
firewall-cmd --get-default-zone
# 查看所有规则（包括服务和端口）
firewall-cmd --list-all

输出示例：

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client
  ports: 8080/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

2.2 使用iptables查看

# 查看iptables规则（IPv4）
iptables -L -n -v
# 查看ip6tables规则（IPv6）
ip6tables -L -n -v

输出解读：

• -L：列出规则
• -n：显示数字地址而非主机名
• -v：显示详细信息（包括数据包计数）

三、关闭防火墙操作指南

3.1 临时关闭（推荐用于测试）

firewalld临时关闭：

systemctl stop firewalld

iptables临时关闭：

service iptables stop  # CentOS 6
systemctl stop iptables  # CentOS 7（如果安装了iptables服务）

重要提示：临时关闭仅在当前会话有效，系统重启后防火墙会自动启动。

3.2 永久关闭

firewalld永久禁用：

systemctl disable firewalld
systemctl stop firewalld

iptables永久禁用：

chkconfig iptables off  # CentOS 6
systemctl disable iptables  # CentOS 7
systemctl stop iptables

3.3 验证关闭结果

# 验证firewalld状态
systemctl is-active firewalld  # 应返回inactive
# 验证iptables规则是否为空
iptables -L | grep -v "Chain" | grep -v "target"

四、安全关闭防火墙的最佳实践

4.1 关闭前的准备工作

1. 评估风险：确认关闭防火墙不会暴露敏感服务
2. 备份规则：

   firewall-cmd --list-all > firewall_rules_backup.txt
   iptables-save > iptables_rules_backup.txt

3. 测试环境验证：先在非生产环境测试关闭效果

4.2 替代安全方案

在关闭防火墙前，建议考虑：

1. 配置安全组：如果是云服务器，使用云平台的安全组规则
2. 使用TCP Wrapper：通过/etc/hosts.allow和/etc/hosts.deny限制访问
3. 应用层防护：如Nginx/Apache的访问控制

4.3 监控与恢复

1. 设置监控：使用监控工具检测异常连接
2. 快速恢复脚本：

   #!/bin/bash
   systemctl start firewalld
   firewall-cmd --reload
   # 或对于iptables
   iptables-restore < iptables_rules_backup.txt

五、常见问题解决方案

5.1 关闭后无法远程连接

原因：SSH服务（22端口）被阻止
解决方案：

1. 使用控制台直接访问服务器
2. 确保关闭前已配置其他访问方式
3. 恢复防火墙规则时明确允许SSH：

   firewall-cmd --permanent --add-service=ssh
   firewall-cmd --reload

5.2 服务启动失败

现象：systemctl start firewalld失败
可能原因：

• 与iptables服务冲突
• 配置文件损坏
  解决方案：
  ```bash

  检查服务状态

  journalctl -xe

修复配置（谨慎操作）

mv /etc/firewalld/firewalld.conf /etc/firewalld/firewalld.conf.bak
systemctl restart firewalld

### 5.3 规则未持久化
**问题**：重启后规则丢失
**解决方案**：
- 对于firewalld：添加`--permanent`参数
  ```bash
  firewall-cmd --permanent --add-port=8080/tcp
  firewall-cmd --reload

• 对于iptables：使用iptables-save和iptables-restore

六、高级管理技巧

6.1 firewalld富规则

允许特定IP访问：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept'
firewall-cmd --reload

6.2 iptables日志记录

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH_ATTEMPT "
iptables -A INPUT -p tcp --dport 22 -j DROP

6.3 性能优化

对于高流量服务器：

1. 合并相似规则
2. 使用iptables -N创建自定义链
3. 考虑使用nf_conntrack模块跟踪连接状态

七、不同CentOS版本差异

版本	默认防火墙	主要管理命令	配置文件路径
CentOS 6	iptables	service iptables/iptables-save	/etc/sysconfig/iptables
CentOS 7	firewalld	firewall-cmd/systemctl	/etc/firewalld/
CentOS 8	firewalld	firewall-cmd/nft（后端可能变更）	/etc/firewalld/

八、总结与建议

1. 生产环境谨慎操作：关闭防火墙前确保有替代安全措施
2. 文档化所有变更：记录防火墙规则修改历史
3. 定期审计：即使关闭防火墙，也应定期检查系统安全
4. 考虑升级方案：CentOS 8+推荐使用nftables作为长期解决方案

最终建议流程：

1. 评估必要性 → 2. 备份当前规则 → 3. 临时关闭测试 → 4. 监控效果 → 5. 决定永久关闭或恢复 → 6. 实施替代安全措施

通过遵循本文介绍的严谨流程，系统管理员可以安全地管理CentOS防火墙，在保障系统安全的同时满足业务需求。记住，防火墙管理是持续的过程，而非一次性操作。