CentOS 7 缺省採用了 firewalld ,儘管還是可以安裝並支持 iptables,但是還是跟上新東西爲好!其實iptables 我也沒有用過,哈哈哈!
防火牆功能很強大,但是,日常要做的最多的還是開放端口,記錄一下,以便隨時 copy
1、 開放 8080 端口
1. 查看防火牆狀態
sudo systemctl status firewalld
sudo firewall-cmd --state
running
2. 防火牆基本命令
# 開啓
service firewalld start
# 重啓
service firewalld restart
# 關閉
sudo service firewalld stop
# 查看防火牆規則
sudo firewall-cmd --list-all
sudo firewall-cmd --state
3. 開啓 8080 端口
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
重啓防火牆
sudo systemctl restart firewalld.service
sudo firewall-cmd --reload
4. 不知道爲什麼,就把自己關在外面了 ssh 連接不上去了!
sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
** 可以看到,ports 一個都沒有!
** 乾脆重新增加端口的時候,先加上 20,22 端口
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --zone=public --add-port=21/tcp --permanent
sudo firewall-cmd --zone=public --add-port=20/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=4433/tcp --permanent
重啓防火牆
sudo systemctl restart firewalld.service
重新查看防火牆規則
sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3
sources:
services: ssh dhcpv6-client
ports: 80/tcp 22/tcp 21/tcp 20/tcp 8080/tcp 4433/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
** 現在可以安全的退出、重新 ssh 了!
2、再增加一個其他端口 (例如:4433)發生錯誤
1. 測試:將以上 chuangke.conf 的端口改成 4433後
sudo systemctl restart nginx
返回錯誤!
Job for nginx.service failed because the control process exited with error code. See "systemctl status nginx.service" and "journalctl -xe" for details.
2. 測試 nginx 配置是 OK!
sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
3. 查看錯誤信息
sudo systemctl status nginx.service
......
3月 29 15:07:26 centos7-71 nginx[18289]: nginx: [emerg] bind() to 0.0.0.0:4433 failed (13: Permission denied)
......
3月 29 15:07:26 centos7-71 systemd[1]: Unit nginx.service entered failed state.
3月 29 15:07:26 centos7-71 systemd[1]: nginx.service failed.
** 4433 端口不允許!
3、semanage 解決 http 端口訪問配置(Selinux)
參考
https://blog.csdn.net/runsnail2018/article/details/81185138
https://zhb1208.iteye.com/blog/1432957
1. 直接安裝 semanage 會提示:沒有 semanage
sudo yum update
sudo yum install semanage
已加載插件:fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.aliyun.com
* extras: mirrors.aliyun.com
* updates: mirrors.aliyun.com
沒有可用軟件包 semanage。
錯誤:無須任何處理
2. 按照參考文檔,執行一下設置和安裝命令
1). yum provides /usr/sbin/semanage
2). yum -y install policycoreutils-python
3). 現在就可以執行 semanage 命令了
3. 查看 http 可以訪問的端口
sudo semanage port -l | grep http_port_t
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
** 果然沒有發現 4433 端口!
4. 增加 4433 到 http 訪問端口
sudo semanage port -a -t http_port_t -p tcp 4433
5. 再來看看 http 端口
sudo semanage port -l | grep http_port_t
http_port_t tcp 4433, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
** 現在可以訪問 4433 了
sudo systemctl restart nginx
sudo systemctl status nginx.service
OK!
一直沒有搞明白 SELinux 幹麼用的!現在有點兒明白了!
不是簡單從防火牆開放一個端口就可以了
還要配置 特定服務(這次是 HTTP)可以使用哪些端口
4、切換root目錄一直 403 錯誤
參考
https://blog.csdn.net/a690392431/article/details/85914076
** 這個博客應該是正確的!但是,我照着操作了,還是不行!
實在沒有辦法了!
只好先關閉 SELinux !以後再學習!
sudo vim /etc/selinux/config
# by wzh 20190329 disable SELINUX
SELINUX=disabled
# SELINUX=enforcing
重啓才能生效!
查看 SELinux
sestatus
SELinux status: disabled