5.13. 自定义防火墙

为生成的系统镜像设置防火墙。默认情况下，防火墙阻止进入的连接，但明确启用其端口的服务除外，如 sshd。

如果您不想使用 [customizations.firewall] 或 [customizations.firewall.services]，可以删除属性，或者将它们设置为空列表 []。如果您只想使用默认的防火墙设置，您可以从蓝图中省略自定义。

注意

Google 模板明确禁用了其环境的防火墙。您无法通过设置蓝图来覆盖此行为。

流程

使用以下设置自定义蓝图，以打开其他端口和服务：
```
[customizations.firewall]
ports = ["<ports>"]
```
```
[customizations.firewall]
ports = ["<ports>"]
```
Copy to Clipboard Toggle word wrap
其中 ports 是包含要打开的端口或一系列端口和协议的可选字符串列表。您可以使用以下格式配置端口：port:protocol 格式。您可以使用 portA-portB:protocol 格式配置端口范围。例如：
```
[customizations.firewall]
ports = ["22:tcp", "80:tcp", "imap:tcp", "53:tcp", "53:udp", "30000-32767:tcp", "30000-32767:udp"]
```
```
[customizations.firewall]
ports = ["22:tcp", "80:tcp", "imap:tcp", "53:tcp", "53:udp", "30000-32767:tcp", "30000-32767:udp"]
```
Copy to Clipboard Toggle word wrap
您可以使用数字端口或 /etc/services 中的名称来启用或禁用端口列表。

在 customizations.firewall.service 部分中指定要启用或禁用哪个防火墙服务：

[customizations.firewall.services]
enabled = ["<services>"]
disabled = ["<services>"]

[customizations.firewall.services]
enabled = ["<services>"]
disabled = ["<services>"]

Copy to Clipboard

Toggle word wrap

您可以检查可用的防火墙服务：
```
firewall-cmd --get-services
```
```
$ firewall-cmd --get-services
```
Copy to Clipboard Toggle word wrap
例如：
```
[customizations.firewall.services]
enabled = ["ftp", "ntp", "dhcp"]
disabled = ["telnet"]
```
```
[customizations.firewall.services]
enabled = ["ftp", "ntp", "dhcp"]
disabled = ["telnet"]
```
Copy to Clipboard Toggle word wrap
注意
firewall.services 中列出的服务与 /etc/services 文件中提供的 service-names 不同。

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat