一、下面是red hat/CentOs7关闭防火墙的命令!
 
1:查看防火状态
 
systemctl status firewalld
 
service  iptables status
 
2:暂时关闭防火墙
 
systemctl stop firewalld
 
service  iptables stop
 
3:永久关闭防火墙
 
systemctl disable firewalld
 
chkconfig iptables off
 
4:重启防火墙
 
systemctl enable firewalld
 
service iptables restart  
 
5:永久关闭后重启
 
//暂时还没有试过
 
chkconfig iptables on
 
 
 
二、firewalld
 
Centos7默认安装了firewalld，如果没有安装的话，可以使用 yum install firewalld firewalld-config进行安装。
 
1.启动防火墙
 
systemctl start firewalld 
 
2.禁用防火墙
 
systemctl stop firewalld
 
3.设置开机启动
 
systemctl enable firewalld
 
4.停止并禁用开机启动
 
sytemctl disable firewalld
 
5.重启防火墙
 
 
 
firewall-cmd --reload
 
6.查看状态
 
systemctl status firewalld或者 firewall-cmd --state
 
7.查看版本
 
firewall-cmd --version
 
8.查看帮助
 
firewall-cmd --help
 
9.查看区域信息
 
firewall-cmd --get-active-zones
 
10.查看指定接口所属区域信息
 
firewall-cmd --get-zone-of-interface=eth0
 
11.拒绝所有包
 
firewall-cmd --panic-on
 
12.取消拒绝状态
 
firewall-cmd --panic-off
 
13.查看是否拒绝
 
firewall-cmd --query-panic
 
14.将接口添加到区域(默认接口都在public)
 
firewall-cmd --zone=public --add-interface=eth0(永久生效再加上 --permanent 然后reload防火墙)
 
15.设置默认接口区域
 
firewall-cmd --set-default-zone=public(立即生效，无需重启)
 
16.更新防火墙规则
 
firewall-cmd --reload或firewall-cmd --complete-reload(两者的区别就是第一个无需断开连接，就是firewalld特性之一动态
添加规则，第二个需要断开连接，类似重启服务)
 
17.查看指定区域所有打开的端口
 
 
 
firewall-cmd --zone=public --list-ports
 
18.在指定区域打开端口（记得重启防火墙）
 
 
 
firewall-cmd --zone=public --add-port=80/tcp(永久生效再加上 --permanent)
 
 
 
说明：
 –zone 作用域
 –add-port=8080/tcp 添加端口，格式为：端口/通讯协议
 –permanent #永久生效，没有此参数重启后失效
 
 
补充：
 
CentOS 7 下使用 Firewall 
 
在 CentOS 7 中，引入了一个新的服务，Firewalld，下面一张图，让大家明确的了解 Firewall 与 iptables 之间的关系与区别。
 
 
安装它，只需
 
# yum install firewalld
 
如果需要图形界面的话，则再安装
 
# yum install firewall-config
 
一、介绍
 
防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。
 
zone
 
Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别
 
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接
过滤规则
 
source: 根据源地址过滤
interface: 根据网卡过滤
service: 根据服务名过滤
port: 根据端口过滤
icmp-block: icmp 报文过滤，按照 icmp 类型配置
masquerade: ip 地址伪装
forward-port: 端口转发
rule: 自定义规则
其中，过滤规则的优先级遵循如下顺序
 
source
interface
firewalld.conf
二、使用方法
 
# systemctl start firewalld         # 启动,
# systemctl enable firewalld        # 开机启动
# systemctl stop firewalld          # 关闭
# systemctl disable firewalld       # 取消开机启动
 
具体的规则管理，可以使用 firewall-cmd，具体的使用方法可以
 
$ firewall-cmd --help

--zone=NAME                         # 指定 zone
--permanent                         # 永久修改，--reload 后生效
--timeout=seconds                   # 持续效果，到期后自动移除，用于调试，不能与 --permanent 同时使用
 
1. 查看规则
 
查看运行状态
 
$ firewall-cmd --state
 
查看已被激活的 Zone 信息
 
$ firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1
 
查看指定接口的 Zone 信息
 
$ firewall-cmd --get-zone-of-interface=eth0
public
 
查看指定级别的接口
 
$ firewall-cmd --zone=public --list-interfaces
eth0
 
查看指定级别的所有信息，譬如 public
 
$ firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
 
查看所有级别被允许的信息
 
$ firewall-cmd --get-service
 
查看重启后所有 Zones 级别中被允许的服务，即永久放行的服务
 
$ firewall-cmd --get-service --permanent
 
2. 管理规则
 
# firewall-cmd --panic-on           # 丢弃
# firewall-cmd --panic-off          # 取消丢弃
# firewall-cmd --query-panic        # 查看丢弃状态
# firewall-cmd --reload             # 更新规则，不重启服务
# firewall-cmd --complete-reload    # 更新规则，重启服务
 
添加某接口至某信任等级，譬如添加 eth0 至 public，永久修改
 
# firewall-cmd --zone=public --add-interface=eth0 --permanent
 
设置 public 为默认的信任级别
 
# firewall-cmd --set-default-zone=public
 
a. 管理端口
 
列出 dmz 级别的被允许的进入端口
 
# firewall-cmd --zone=dmz --list-ports
 
允许 tcp 端口 8080 至 dmz 级别
 
# firewall-cmd --zone=dmz --add-port=8080/tcp
 
允许某范围的 udp 端口至 public 级别，并永久生效
 
# firewall-cmd --zone=public --add-port=5060-5059/udp --permanent
 
b. 网卡接口
 
列出 public zone 所有网卡
 
# firewall-cmd --zone=public --list-interfaces
 
将 eth0 添加至 public zone，永久
 
# firewall-cmd --zone=public --permanent --add-interface=eth0
 
eth0 存在与 public zone，将该网卡添加至 work zone，并将之从 public zone 中删除
 
# firewall-cmd --zone=work --permanent --change-interface=eth0
 
删除 public zone 中的 eth0，永久
 
# firewall-cmd --zone=public --permanent --remove-interface=eth0
 
c. 管理服务
 
添加 smtp 服务至 work zone
 
# firewall-cmd --zone=work --add-service=smtp
 
移除 work zone 中的 smtp 服务
 
# firewall-cmd --zone=work --remove-service=smtp
 
d. 配置 external zone 中的 ip 地址伪装
 
查看
 
# firewall-cmd --zone=external --query-masquerade
 
打开伪装
 
# firewall-cmd --zone=external --add-masquerade
 
关闭伪装
 
# firewall-cmd --zone=external --remove-masquerade
 
e. 配置 public zone 的端口转发
 
要打开端口转发，则需要先
 
# firewall-cmd --zone=public --add-masquerade
 
然后转发 tcp 22 端口至 3753
 
# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753
 
转发 22 端口数据至另一个 ip 的相同端口上
 
# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100
 
转发 22 端口数据至另一 ip 的 2055 端口上
 
# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100
 
f. 配置 public zone 的 icmp
 
查看所有支持的 icmp 类型
 
# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded
 
列出
 
# firewall-cmd --zone=public --list-icmp-blocks
 
添加 echo-request 屏蔽
 
# firewall-cmd --zone=public --add-icmp-block=echo-request [--timeout=seconds]
 
移除 echo-reply 屏蔽
 
# firewall-cmd --zone=public --remove-icmp-block=echo-reply
 
g. IP 封禁
 
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject"
 
当然，我们仍然可以通过 ipset 来封禁 ip
 
封禁 ip
 
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222.222.222.222
 
封禁网段
 
# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222.222.222.0/24
 
导入 ipset 的 blacklist 规则
 
# firewall-cmd --permanent --zone=public --new-ipset-from-file=/path/blacklist.xml
 
如果已经存 blacklist，则需要先删除
 
# firewall-cmd --get-ipsets
blacklist
# firewall-cmd --permanent --zone=public --delete-ipset=blacklist
 
然后封禁 blacklist
 
# firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset=blacklist drop'
 
重新载入以生效
 
# firewall-cmd --reload
 
查看 blacklist
 
# firewall-cmd --ipset=blacklist --get-entries
 
以上都是一些常用方法，更多高级方法，请参考：
 
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html
https://fedoraproject.org/wiki/FirewallD

一、SELinux是什么？
 
SELinux是一个复杂的安全子bai系统，它可以控制程du序只访问一定数量的文zhi件，使用学位设置工具进入对角dao化关闭。
 
二、linux 为什么要关闭防火墙selinux？
 
一般安装linux课程时都把SELinux与iptables安排在后面，使初学者配置linux服务器时不成功，却没有头绪，那是因为在RedHat linux操作系统中默认开启了防火墙，SELinux也处于启动状态，一般状态为enforing。致使很多服务端口默认是关闭的。所以好多服务初学者明明配置文件正确，等验证时有时连ping也ping不通。建议初学者在未学到SELlinux与iptables之前，配置服务器把这两项都关掉。那么怎么关呢？
1、关闭iptables
 #service iptables stop
2、关闭SELinux
 #vi /etc/selinux/config
 将文件中的SELINUX="" 为 disabled ，然后重启。
 如果不想重启系统，使用命令setenforce 0注：setenforce 1 设置SELinux 成为enforcing模式
 setenforce 0 设置SELinux 成为permissive模式
 在lilo或者grub的启动参数中增加：selinux=0,也可以关闭selinux
 #---------------------------------------------------------------
 查看selinux状态：
 /usr/bin/setstatus -v如下：SELinux status: enabled
 SELinuxfs mount: /selinux
 Current mode: permissive
 Mode from config file: enforcing
 Policy version: 21
 getenforce/setenforce查看和设置SELinux的当前工作模式
 
三、Linux下的防火墙用什么命令打开？
 
1．首先，您需要在Linux系统中找到并打开文件来编辑和配置防火墙，并执行以下命令：vi／etc／sysconfig／iptables。
 
2．然后将以下语句添加到上面打开的文件中：－ainput－mstate－statenew－mtcp－ptcp－dport80－jaccept（允许端口80通过防火墙，例如端口80）。
 
注意，上面的语句没有加载文件的最后一面，这将导致防火墙启动失败。应该将正确的端口添加到默认的22端口规则中。
 
3．配置防火墙规则
 
＃Manualcustomizationofthisfileisnotrecommended。
 
4．重新启动防火墙，使配置生效。
 
／etc／init．D／iptablesrestart或serviceiptablesrestart

 
linux下关闭防火墙：
 
根用户下输入
 
setup
 
，进入一个图形界面，选择
 
Firewall configuration
 
，进入下一界面，选择
 
Security Level
 
为
 
Disabled
 
，保存。重启即可。
 
单向可ping通的原因与原理
 
当网络出现问题时，我们最常用的测试工具就是“Ping”命令了。但有时候我们会碰到单方向Ping通的现象，例如通过HUB或一根交叉线连接的在同一个局域网内的电脑A、B，在检查它们之间的网络连通性时，发现从主机A Ping 主机B正常而从主机B Ping 主机A时，出现“超时无应答”错误。为什么呢?
 
要知道这其中的奥秘，我们有必要来看看Ping命令的工作过程到底是怎么样的。
 
假定主机A的IP地址是192.168.1.1，主机B的IP地址是192.168.1.2，都在同一子网内，则当你在主机A上运行“Ping 192.168.1.2”后，都发生了些什么呢?
 
首先，Ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址“192.168.1.2”一起交给IP层协议(和ICMP一样，实际上是一组后台运行的进程)，IP层协议将以地址“192.168.1.2”作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并在一个映射表中查找出IP地址192.168.1.2所对应的物理地址(也叫MAC地址，熟悉网卡配置的朋友不会陌生，这是数据链路层协议构建数据链路层的传输单元——帧所必需的)，一并交给数据链路层。后者构建一个数据帧，目的地址是IP层传过来的物理地址，源地址则是本机的物理地址，还要附加上一些控制信息，依据以太网的介质访问规则，将它们传送出去。
 
主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址对比，如符合，则接收;否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，马上构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一模一样。
 
从Ping的工作过程，我们可以知道，主机A收到了主机B的一个应答包，说明两台主机之间的去、回通路均正常。也就是说，无论从主机A到主机B，还是从主机B到主机A，都是正常的。那么，是什么原因引起只能单方向Ping通的呢?
 
一、安装了个人防火墙
 
在共享上网的机器中，出于安全考虑，大部分作为服务器的主机都安装了个人防火墙软件，而其他作为客户机的机器则一般不安装。几乎所有的个人防火墙软件，默认情况下是不允许其他机器Ping本机的。一般的做法是将来自外部的ICMP请求报文滤掉，但它却对本机出去的ICMP请求报文，以及来自外部的ICMP应答报文不加任何限制。这样，从本机Ping其他机器时，如果网络正常，就没有问题。但如果从其他机器Ping这台机器，即使网络一切正常，也会出现“超时无应答”的错误。大部分的单方向Ping通现象源于此。解决的办法也很简单，根据你自己所用的不同类型的防火墙，调整相应的设置即可。
 
二、错误设置IP地址
 
正常情况下，一台主机应该有一个网卡，一个IP地址，或多个网卡，多个IP地址(这些地址一定要处于不同的IP子网)。但对于在公共场所使用的电脑，特别是网吧，人多手杂，其中不泛有“探索者”。曾有一次两台电脑也出现了这种单方向Ping通的情况，经过仔细检查，发现其中一台电脑的“拨号网络适配器”(相当于一块软网卡)的TCP/IP设置中，设置了一个与网卡IP地址处于同一子网的IP地址，这样，在IP层协议看来，这台主机就有两个不同的接口处于同一网段内。当从这台主机Ping其他的机器时，会存在这样的问题:
 
(1)主机不知道将数据包发到哪个网络接口，因为有两个网络接口都连接在同一网段；
 
(2)主机不知道用哪个地址作为数据包的源地址。因此，从这台主机去Ping其他机器，IP层协议会无法处理，超时后，Ping 就会给出一个“超时无应答”的错误信息提示。但从其他主机Ping这台主机时，请求包从特定的网卡来，ICMP只须简单地将目的、源地址互换，并更改一些标志即可，ICMP应答包能顺利发出，其他主机也就能成功Ping通这台机器了
 
ifconfig eth0 新ip
 
然后编辑/etc/sysconfig/network-scripts/ifcfg-eth0，修改ip
 
一、修改IP地址
 
[aeolus@db1 network-scripts]$ vi ifcfg-eth0
 
DEVICE=eth0
 
ONBOOT=yes
 
BOOTPROTO=static
 
IPADDR=219.136.241.211
 
NETMASK=255.255.255.128
 
GATEWAY=219.136.241.254
 
二、修改网关
 
vi /etc/sysconfig/network
 
NETWORKING=yes
 
HOSTNAME=Aaron
 
GATEWAY=192.168.1.1
 
三、修改DNS
 
[aeolus@db1 etc]$ vi resolv.conf
 
nameserver 202.96.128.68
 
nameserver 219.136.241.206
 
四、重新启动网络配置
 
/etc/init.d/network restart

Redhat使用了SELinux来增强安全，关闭的办法为：
 
1. 永久有效
 
修改 /etc/selinux/config 文件中的 SELINUX="" 为 disabled ，然后重启。
 
2. 即时生效
 
setenforce 0
 
 
 
关闭防火墙的方法为：
 
1. 永久性生效
 
开启：chkconfig iptables on
 
关闭：chkconfig iptables off
 
2. 即时生效，重启后失效
 
开启：service iptables start
 
关闭：service iptables stop
 
 
 
需要说明的是对于 Linux 下的其它服务都可以用以上命令执行开启和关闭操作
 
 
 
补充：
 
a. 防火墙还需要关闭ipv6的防火墙：
 
chkconfig ip6tables off
 
并且可以通过如下命令查看状态：
 
chkconfig --list iptables
 
b. selinux状态可以通过以下命令查看：
 
Sestatus
 
===============
 
 
 
# uname -a # 查看内核/操作系统/CPU信息 
 # head -n 1 /etc/issue # 查看操作系统版本 
 # cat /proc/cpuinfo # 查看CPU信息 
 # hostname # 查看计算机名 
 # lspci -tv # 列出所有PCI设备 
 # lsusb -tv # 列出所有USB设备 
 # lsmod # 列出加载的内核模块 
 # env # 查看环境变量资源 
 # free -m # 查看内存使用量和交换区使用量 
 # df -h # 查看各分区使用情况 
 # du -sh <目录名> # 查看指定目录的大小 
 # grep MemTotal /proc/meminfo # 查看内存总量 
 # grep MemFree /proc/meminfo # 查看空闲内存量 
 # uptime # 查看系统运行时间、用户数、负载 
 # cat /proc/loadavg # 查看系统负载磁盘和分区 
 # mount | column -t # 查看挂接的分区状态 
 # fdisk -l # 查看所有分区 
 # swapon -s # 查看所有交换分区 
 # hdparm -i /dev/hda # 查看磁盘参数(仅适用于IDE设备) 
 # dmesg | grep IDE # 查看启动时IDE设备检测状况网络 
 # ifconfig # 查看所有网络接口的属性 
 # iptables -L # 查看防火墙设置 
 # route -n # 查看路由表 
 # netstat -lntp # 查看所有监听端口 
 # netstat -antp # 查看所有已经建立的连接 
 # netstat -s # 查看网络统计信息进程 
 # ps -ef # 查看所有进程 
 # top # 实时显示进程状态用户 
 # w # 查看活动用户 
 # id <用户名> # 查看指定用户信息 
 # last # 查看用户登录日志 
 # cut -d: -f1 /etc/passwd # 查看系统所有用户 
 # cut -d: -f1 /etc/group # 查看系统所有组 
 # crontab -l # 查看当前用户的计划任务服务 
 # chkconfig –list # 列出所有系统服务 
 # chkconfig –list | grep on # 列出所有启动的系统服务程序 
 # rpm -qa # 查看所有安装的软件包