linux端口設置
目錄
查看所有端口
netstat -ntlp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.53:53 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.1:6010 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.1:6011 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:8002 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:8004 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:8005 0.0.0.0:* LISTEN -
tcp6 0 0 :::19530 :::* LISTEN -
tcp6 0 0 :::111 :::* LISTEN -
tcp6 0 0 :::8080 :::* LISTEN -
指定端口查詢
netstat -ntlp |grep 8005
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:8005 0.0.0.0:* LISTEN -
防火牆設置端口
啟用端口
firewall-cmd --add-port=<port>[-<port>]/<protocol>
firewall-cmd --zone=public --add-port=8006/tcp --permanent
@linux~$ sudo firewall-cmd --zone=public --add-port=8006/tcp --permanent
success
@linux~$ sudo firewall-cmd --reload
success
端口查詢
firewall-cmd --query-port=8006/tcp
yes or no
禁用端口
firewall-cmd --remove-port=<port>[-<port>]/<protocol>
@linux~$ sudo firewall-cmd --remove-port=8010/tcp
success
重新載入
firewall-cmd --reload
查看防火牆狀態
firewall-cmd --state
ubuntu@ubuntu:~$ sudo firewall-cmd --state
running
查看已開放的端口
firewall-cmd --zone=public --list-ports
打開、關閉、重啟
systemctl stop firewalld
systemctl start firewalld
systemctl restart firewalld
firewalled命令
火牆的各類配置文件存儲在/usr/lib/firewalld和/etc/firewalld/中的各種xml文件里
firewalld的操作:
yum install firewalld firewall-config ##安裝firewalld與圖形界面
firewall-config ##打開圖形界面
systemctl status firewalld ##查看火牆狀態
systemctl start firewalld ##開啟火牆服務
systemctl restart firewalld ##重啟啟火牆服務
systemctl stop firewalld ##關閉火牆服務
systemctl enable firewalld ##開機自動開啟
systemctl disable firewalld ##開機不自啟
systemctl mask firewalld ##凍結火牆服務
systemctl unmask firewalld ##解凍火牆服務
firewall-cmd --state ##查看火牆的狀態
firewall-cmd --get-default-zone ##查看火牆默認的域
firewall-cmd --get-active-zone ##查看火牆活動的域
firewall-cmd --get-zones ##查看火牆所有可用的域
firewall-cmd --zone=public --list-all ##列出制定域的所有設置
firewall-cmd --get-services ##列出所有預設服務
firewall-cmd --list-all ##列出默認區域的設置
firewall-cmd --list-all-zones ##列出所有區域的設置
firewall-cmd --set-default-zone=dmz ##設置默認區域為dmz
firewall-cmd --add-source=172.25.254.44 --zone=trusted ##添加172.25.254.44到trusted域中去
firewall-cmd --remove-source=172.25.254.44 --zone=trusted ##刪除172.25.254.44到trusted域中去
firewall-cmd --remove-interface=eth1 --zone=public ##刪除public域中的eth1接口
firewall-cmd --add-interface=eth1 --zone=trusted ##添加trusted域中一個接口eth1
firewall-cmd --add-service=http ##添加http服務到火牆中
firewall-cmd --add-port=8080/tcp ##添加端口為8080,協議為tcp的到火牆中
firewall-cmd --permanent --add-service=http ##永久添加http到火牆中
**-permanent參數表示永久生效設置,如果沒有指定-zone參數,則加入默認區域
firewall-cmd --zone=public --list-ports ##列出public域中端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp ##添加端口
firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,沒有此參數重啟后失效)
firewall-cmd --permanent --zone=public --remove-port=8080/tcp ##刪除端口
firewall-cmd --add-service=ssh --permanent ##永久添加ssh服務(添加完后重新加載一下就可以查看了)
vim /etc/firewalld/zones/public.xml ##編寫public域的配置文件,可以加服務(本次實驗添加lftp)
irewall-cmd -reload ##重新加載火牆,不會立即中斷當前使用的服務
firewall-cmd --complete-reload ##重新加載火牆,會立即中斷當前正在使用的服務
通過firewall-cmd 工具,可以使用 --direct選項再運行時間里增加或移除鏈。如果不熟悉iptables,使用直接接口非常危險,因為您可能無意間導致火牆被入侵。直接端口模式適用於服務或程序,以便在運行時間內增加特定的火牆規則。直接端口模式添加的規則優先於應用。
firewall-cmd --direct --get-all-rules ##列出規則
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##在filter表中的INPUT鏈中第二條加入允許接受tcp協議的172.25.254.44的數據包通過端口22(sshd)訪問該主機
firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##移除
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##添加除了44主機以外的任何主機都可以訪問
cat /etc/services | grep ssh ##查看與ssh有關的服務信息
##端口轉發(地址偽裝)
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##別的主機通過22端口訪問該主機的時候偽裝到172.25.254.44主機上(要開啟偽裝才可成功)
firewall-cmd --permanent --add-masquerade ##開啟偽裝
firewall-cmd--reload ##需要重新加載
firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##移除
firewall-cmd --permanent --remove-masquerade ##關閉偽裝
##實現路由功能(連接不同的ip進行地址偽裝)
在服務器上配兩個網卡eth0:172.25.254.144 eth1:192.168.0.144
客戶端:192.168.0.244
firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.144 masquerade"
firewall-cmd --add-masquerade ##開啟偽裝
firewall-cmd --get-icmptypes
firewall-cmd --add-icmp-block=destination-unreacheable ##ping的時候顯示目的地不可達
firewall-cmd --remove-icmp-block=destination-unreacheable ##移除
firewall-cmd --add-icmp-block=echo_sed
firewall-cmd --add-icmp-block=echo-request
firewall-cmd --remove-icmp-block=echo-request
firewall-cmd --add-icmp-block=echo-request --timeout=5 ##
telnet測試IP和端口連接
telnet IP地址 端口號
測試IP是不是相通,使用22
telnet 127.0.0.001 22
Trying 127.0.0.001...
Connected to 127.0.0.001.
Escape character is '^]'
測試指定端口
@linux~$ telnet 127.0.0.001 8006
Trying 127.0.0.001...
Connected to 127.0.0.001.
Escape character is '^]'
telnet 110.40.183.167 8006