CentOS7 中使用 firewall-cmd 控制端口和端口转发

最新推荐文章于 2023-11-04 21:46:27 发布
最新推荐文章于 2023-11-04 21:46:27 发布
阅读量3k 收藏 2
点赞数
分类专栏: linux 文章标签: firewall

阿里云2000代金券点此领取
firewalld 守护进程
firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。

firewall-cmd --add-service=mysql # 开放mysql端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --list-services # 查看开放的服务
firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp # 开放通过udp访问233
firewall-cmd --list-ports # 查看开放的端口

伪装 IP
防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。

firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:

比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
其次检查是否允许伪装 IP,没允许的话要开启伪装 IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。

原文地址:https://blog.csdn.net/mingzznet/article/details/53542856

健康马m
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用FirewallD限制网络访问
yuyuyuliang00的博客
07-30 6162
linux firewalld
firewall-cmd命令详解
最新发布
niaooer的博客
06-12 346
参考:https://www.cnblogs.com/wangshuyang/p/11941547.html。
firewalld 设置规则只允许指定ip访问指定端口 —— 筑梦之路
筑梦之路
03-01 6913
需要让192.168.100.102可以访问101机器的80端口,192.168.100.100不允许访问101的80端口。192.168.100.101 开启防火墙firewalld,上面有web服务nginx,监听80端口。2.配置防火墙规则,限制指定ip-192.168.100.102访问指定端口80。现有三台机器,系统都是centos7。1.查看101上当前防火墙规则。3.防火墙规则设置扩展内容。关键点:移除现有的规则。如何设置防火墙规则?
记一次Linux设置firewall-cmd(防火墙)
HardProgrammer的博客
03-30 150
记一次Linux设置firewall-cmd(防火墙)
linux的防火墙管理之firewall
xinhao233的博客
12-03 1337
一、firewall管理 1、相关概念: 防火墙守护firewalld服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持ipv4与ipv6,并支持网桥,采用firewall-cmd(command) 或firewall-config(gui) 来动态的管理kernelnetfilter 的临时或永久的接口规则,并实时生效而无需重启服务。iptablesservice 在/
CentOS7使用firewall-cmd来管理端口开放
weixin_38776330的博客
01-28 441
CentOS7 开放端口 通过firewall-cmd来操作 背景 自去年11月转项目经理,工作技术占的比重少了很多,很久没有上这个博客,今天又想起这个途径,久违的登上,有些怀念。 命令 CentOS7提供firewall-cmd工具来操作防火墙。 firewall-cmd --permanent:表示设置为永久,配置被写入配置文件。 不会立即生效,重新启动防火墙加载配置后生效。不带此参数表示本次运行,立即生效 首先,最常用的,开放、查询端口 # 查询某个端口是否开放。本次运行 [root@insta
Centos7防火墙firewalld基本配置与端口转发
热门推荐
GakingChen的博客
12-14 1万+
1.firewalld基本介绍 Centos7开始已经放弃iptables,转而使用firewalld。从本质意义上讲,iptables和firewalld是防火墙软件,其实现方式都是调用内核Netfilter。firewalld提供了一个动态管理的防火墙,形成网络“zones”规则集,具备支持ipv4和ipv6的能力。firewalld程序提供了图形化的配置工具firewall...
CentOS 7下用firewall-cmd控制端口端口转发详解
09-15
主要给大家介绍了在CentOS 7下用firewall-cmd控制端口端口转发的相关资料,文介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下来来一起看看吧。
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
在CentOS 7操作系统,由于默认使用firewalld防火墙服务,这可能导致与Docker容器之间的端口映射出现问题。当您尝试通过`docker run`命令将主机端口映射到容器端口,例如`docker run --name web_a -p 192.168.1....
Centos7(Firewall)防火墙开启常见端口命令
01-10
Firewall开启常见端口命令: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent ...
firewall-cmd(linuix下类似百度网盘)
06-22
`firewall-cmd` 是 Linux 系统用于管理 `firewalld` 防火墙服务的命令行工具。`firewalld` 提供了一种动态管理防火墙规则的方法,与传统的静态 `iptables` 不同,它允许在运行时添加、删除或修改规则,并且这些...
Windows批量添加防火墙例外端口
an7800666的博客
01-10 938
Windows下批量添加防火墙例外端口,查了网上资料,基本上都是使用“Netsh命令”,循环增加端口,这会导致建立的规则特别多,不便于管理,查了下微软的资料,原来是Netsh命令,只支持一个端口: 在我机器上执行Netsh命令时,提示不建议用这个了,推荐用:netsh advfirewall firewall 于是根据提示,查询:https://go.micros...
linux:firewall-cmd开放端口时出现bad port (most likely missing protocol)的解决方法
码农研究僧的博客
10-14 6033
目录问题方法 问题 出现如下所示 Error: INVALID_PORT: bad port (most likely missing protocol), correct syntax is portid[-portid]/protocol 出现这种问题一般是 在配置的时候 add-port参数值只写了端口号,没有指定协议 正确的方式应该为[端口号/协议] 方法 sudo firewall-cmd --permanent --zone=public --add-port=8787/tcp --per
firewalld允许所有IP访问所有端口,但限制某个端口只允许指定IP访问
weihua831的博客
11-04 1206
注:顺序不能错,匹配规则是先匹配priority="0" --> priority="1" --> priority="2"修改配置文件/etc/firewalld/direct.xml,如不存在则新建。
firewall-cmd方式禁用个别端口
qq_41593779的博客
07-25 1655
firewall-cmd trusted
防火墙主要参数:并发连接数、用户数限制、吞吐量
sunhf_my的专栏
10-24 1万+
并发连接数       并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。 并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数
centos7 firewall-cmd主机之间端口转发
友人A的博客
04-26 3380
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。yum安装nginx。
linux 7 firewall只做转发,CentOS 7 使用 firewall 防火墙转发端口(端口转)
06-07
好的,我明白了你的问题。对于这个问题,我可以给你提供一些指导。 首先,要在 CentOS 7 上使用 firewall 防火墙进行端口转发,需要遵循以下步骤: 1. 修改 /etc/sysctl.conf 文件,启用 IP 转发功能。将以下行添加到文件末尾: ``` net.ipv4.ip_forward = 1 ``` 然后运行以下命令以重新加载 sysctl 配置: ``` sudo sysctl -p ``` 2. 使用 firewall-cmd 命令添加一个转发规则。例如,如果要将外部端口 8080 转发到内部主机的端口 80,可以使用以下命令: ``` sudo firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80 --permanent ``` 这将在永久区域添加一个新的端口转发规则。 3. 重新加载防火墙规则以使更改生效: ``` sudo firewall-cmd --reload ``` 这些步骤应该可以帮助你在 CentOS 7 上使用 firewall 防火墙进行端口转发。希望这可以帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值