相关文章推荐
从容的蚂蚁  ·  应用防护_Web应用防火墙(WAF)-阿里云 ...·  1 月前    · 
不拘小节的小蝌蚪  ·  安全管家_安全检测及响应服务_安全-阿里云·  1 月前    · 
重感情的大象  ·  Egg.js (五) ...·  1 年前    · 
开朗的海豚  ·  Qt:靠谱点了!基于WebAssembly开 ...·  1 年前    · 
鼻子大的苹果  ·  WebSocket和HTTP的区别与联系_旺 ...·  1 年前    · 
坚强的咖啡豆  ·  深入 NODEJS 源码探究 CPU ...·  1 年前    · 
欢快的乌冬面  ·  一份不可多得的 TS ...·  1 年前    · 
Code  ›  CentOS 7下用firewall-cmd控制端口与端口转发详解_slovyz的专栏_firewall-cmd端口映射
80端口 centos 端口转发 防火墙
https://blog.csdn.net/slovyz/article/details/78487182
13975858069
2 年前
一 、控制端口/服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。 

firewall-cmd --add-service=mysql # 开放mysql端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --list-services  # 查看开放的服务
firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp  # 开放通过udp访问233
firewall-cmd --list-ports  # 查看开放的端口

二、伪装IP

防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。 

firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --permanent --add-masquerade # 允许防火墙伪装IP
firewall-cmd --permanent --remove-masquerade# 禁止防火墙伪装IP

三、端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。

如果配置好端口转发之后不能用,可以检查下面两个问题:

  • 比如我将80端口转发至8080端口,首先检查本地的80端口和目标的8080端口是否开放监听了
  • 其次检查是否允许伪装IP,没允许的话要开启伪装IP 
# 将80端口的流量转发至8080
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
# 将80端口的流量转发至
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1
# 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080
  • 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
  • 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
CentOS 官方推荐使 firewall - cmd 实现 端口转发 ,虽然它支持iptables,但是同一系统同时只能 firewall - cmd iptables其中一个。在 CentOS 7 v 7 .4.1 7 08上的实验发现,在安装了 firewall - cmd 的情况 iptables命令都可 ,运行它们的命令都能成功,但是不起到实际的作 面是一个 firewall - cmd 端口转发 示例: 把 端口 为8001到...
firewall - cmd - - permanent - - zone=public - - add - for wa rd - port=port=8021:proto=tcp:toaddr=192.168.160.34:toport=8021 2.删除 转发 规则 firewall - cm... sysctl - p #命令生效 2、修改网卡的zone firewall - cmd - - permanent - - zone=extern al - - change - interfa ce =ens33(出口网卡) 3、设置IP地址伪装 firewall - cmd - - zone=extern al - - add - ... 防火墙可以实现伪装IP的功能,未开启 端口转发 ,需要开启这个功能。 $ firewall - cmd - - query - masquerade # 检查是否允许伪装IP $ firewall - cmd - - add - masquerade # 允许防火墙伪装IP # 如果不需要这个功能,可以执行以 命令关闭 $ firewall - cmd - - re move - masquerade# 禁止防火墙伪装IP 开放 端口 开放要监听的 端口 (TCP),如18080: fire w rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1518) 39723 解决CentOS 7出现Failed to issue method call: Unit iptables.service failed to load: No such file or direc 30882 rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1518) Lorne_Coder: 很好,按照第二种方法做完之后,电脑成板砖了 zabbix3.0.4添加对web页面url的状态监控 春去春又来~: 兄弟 你当时是怎么解决的 -bash: netstat: command not found 八缸键盘侠: 最新的解决办法:2181 端口使用冲突了 使用netstat -apn | grep 2181找到使用2181的进程 kill这个进程再试试 Shell脚本中$0、$?、$!、$$、$*、$#、$@等的意义 SS465315665: 很棒,解决了我的问题
 
推荐文章
从容的蚂蚁  ·  应用防护_Web应用防火墙(WAF)-阿里云帮助中心
1 月前
不拘小节的小蝌蚪  ·  安全管家_安全检测及响应服务_安全-阿里云
1 月前
重感情的大象  ·  Egg.js (五) 发送POST请求和获取参数_eggjs post_小猿猪哥的博客-CSDN博客
1 年前
开朗的海豚  ·  Qt:靠谱点了!基于WebAssembly开发网页端 - 知乎
1 年前
鼻子大的苹果  ·  WebSocket和HTTP的区别与联系_旺旺ever的博客-CSDN博客
1 年前
坚强的咖啡豆  ·  深入 NODEJS 源码探究 CPU 信息的获取与利用率计算 - wish123 - 博客园
1 年前
欢快的乌冬面  ·  一份不可多得的 TS 学习指南(1.8W字) - 掘金
1 年前
今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
Code - 代码工具平台
© 2024 ~ 沪ICP备11025650号