RockyLinux规则引擎配置详解（手把手教你设置firewalld防火墙规则）

准备工作：确认 firewalld 已安装并运行

首先，确保你的 RockyLinux 系统已安装并启用了 firewalld。打开终端，依次执行以下命令：

# 检查 firewalld 是否已安装sudo dnf list installed firewalld# 如果未安装，执行以下命令安装sudo dnf install firewalld -y# 启动并设置开机自启sudo systemctl enable --now firewalld# 查看 firewalld 状态sudo systemctl status firewalld  

如果看到 active (running)，说明 firewalld 正常运行。

基础概念：区域（Zones）与服务（Services）

区域（Zones）：代表不同的信任级别。例如：public（公共网络）、trusted（完全信任）、dmz（隔离区）等。

服务（Services）：预定义的端口规则集合。例如：http 对应 80 端口，ssh 对应 22 端口。

步骤一：查看当前防火墙配置

# 查看默认区域firewall-cmd --get-default-zone# 查看所有活动区域firewall-cmd --get-active-zones# 查看 public 区域开放的服务firewall-cmd --zone=public --list-services  

步骤二：添加自定义规则（以开放 Web 服务为例）

假设你要在 RockyLinux 上部署一个网站，需要开放 HTTP（80）和 HTTPS（443）端口。

# 临时添加 HTTP 服务（重启后失效）sudo firewall-cmd --zone=public --add-service=http# 永久添加 HTTPS 服务（--permanent 参数）sudo firewall-cmd --zone=public --add-service=https --permanent# 重新加载配置使永久规则生效sudo firewall-cmd --reload  

现在，你的 Web 服务就可以被外部访问了！

步骤三：开放自定义端口（如数据库端口 3306）

如果你运行的是 MySQL 或 MariaDB，可能需要开放 3306 端口：

# 永久开放 TCP 3306 端口sudo firewall-cmd --zone=public --add-port=3306/tcp --permanent# 重新加载sudo firewall-cmd --reload# 验证端口是否已开放firewall-cmd --zone=public --list-ports  

高级技巧：创建自定义服务

对于复杂应用（如自研服务），你可以创建自己的服务定义文件：

# 创建自定义服务文件sudo tee /etc/firewalld/services/myapp.xml <  

常见问题排查

• 修改规则后记得执行 firewall-cmd --reload（仅对永久规则生效）
• 临时规则在系统重启或 firewalld 重启后会丢失
• 使用 --list-all 查看某个区域的完整配置：
  firewall-cmd --zone=public --list-all

总结

通过本教程，你已经掌握了 RockyLinux防火墙规则 的基本配置方法，包括服务开放、端口管理以及自定义服务创建。这些技能是实现 Linux安全策略设置 的基础。记住，合理的 firewalld配置教程 实践能极大提升服务器的安全性。

现在，你可以自信地为你的 RockyLinux 服务器配置安全、高效的网络规则了！