在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令，但已经仅是名称相同而已。除非手动删除firewall，再安装iptables，否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法：

/usr/lib/firewalld/services   

该目录中存放的是定义好的网络服务和端口参数，只用于参考，不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务，也不必再增加相关xml定义，后续通过管理命令可以直接增加。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务，也不必再增加相关xml定义，后续通过管理命令可以直接增加。

/etc/firewalld/services/

从上面目录中将需要使用的服务的xml文件拷至 这个目录中，如果端口有变化则可以修改文件中的数值。

CentOS7防火墙命令

安装firewalld防火墙

yum install firewalld

在不改变状态的条件下重新加载防火墙

firewall-cmd --relaod

查看防火墙规则

firewall-cmd --list-all

查看状态

firewall-cmd --state
systemctl status firewalld

启动

systemctl start firewalld.service   #开启服务
systemctl enable firewalld.service  #开机自动启动

关闭

systemctl stop firewalld.service    #关闭服务
systemctl disable firewalld.service #禁止开机启动

重新启动

systemctl restart firewalld
firewall-cmd --restart

命令规则

暂时开放ftp服务

firewall-cmd --add-service=ftp

永久开放ftp服务

firewall-cmd --add-service=ftp --permanent

在FirewallD的服务名称

firewall-cmd --get-service

自行加入要开放的Port

firewall-cmd --reload   #更新规则，不重启服务
firewall-cmd --complete-reload #更新规则，重启服务

firewall-cmd --query-port=22/tcp    #查询端口号22是否开启
firewall-cmd --permanent --zone=public --add-port=22/tcp    #永久开放22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp #移除80端口号
iptables -L -n | grep 3306        #检测设定是否生效
firewall-cmd --list-all             #查看规则有没有添加进去
firewall-cmd --list-port            #只查看端口有没有添加进去

• -zone #作用域
• --add-port=80/tcp #添加端口，格式为：端口/通讯协议
• --permanent #永久生效，没有此参数重启后失效

查询服务的启动状态

firewall-cmd --query-service ftp
firewall-cmd --query-service ssh
firewall-cmd --query-service samba
firewall-cmd --query-service http

---

资料参考

http://blog.csdn.net/steveguoshao/article/details/45999645
http://www.jb51.net/article/97964.htm
http://f.dataguru.cn/thread-473492-1-1.html
http://blog.csdn.net/u012486840/article/details/52635263