云服务器ECS配置 (一)防火墙firewall 开放端口 查看端口占用

最新推荐文章于 2025-03-21 11:16:29 发布
最新推荐文章于 2025-03-21 11:16:29 发布
阅读量5.3k 收藏 19
点赞数 2
分类专栏: 运维 文章标签: 服务器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nalanxiaoxiao2011/article/details/131912999
版权

这里写目录标题

阿里云ECS相关(一) 防火墙firewall 与开放端口认识

一、端口号的范围是从1~65535。

其中1~1024是被RFC 3232规定好了的,被称作“众所周知的端口”(Well Known Ports);

从1025~65535的端口被称为动态端口(Dynamic Ports),可用来建立与其它主机的会话,也可由用户自定义用途。

一些常见的端口号及其用途如下:

- 21端口:FTP 文件传输服务
- 22端口:SSH 端口
- 23端口:TELNET 终端仿真服务
- 25端口:SMTP 简单邮件传输服务
- 53端口:DNS 域名解析服务
- 80端口:HTTP 超文本传输服务
- 110端口:POP3 “邮局协议版本3”使用的端口
- 443端口:HTTPS 加密的超文本传输服务
- 1433端口:MS SQL*SERVER数据库 默认端口号
- 1521端口:Oracle数据库服务
- 1863端口:MSN Messenger的文件传输功能所使用的端口
- 3306端口:MYSQL 默认端口号
- 3389端口:Microsoft RDP 微软远程桌面使用的端口
- 5631端口:Symantec pcAnywhere 远程控制数据传输时使用的端口
- 5632端口:Symantec pcAnywhere 主控端扫描被控端时使用的端口
- 5000端口:MS SQL Server使用的端口
- 8000端口:腾讯QQ
二、服务器如何开通一个端口

指定IP 参见: https://my.oschina.net/u/4984817/blog/5593149

1. 首先

1-1. 如果您使用的是云服务器ECS需要在安全组中放行需要开通的端口,操作方法请参考:添加安全组规则 。

1-1-1. 阿里云ECS 安全组是分地区和实例的。华北(北京),华东(杭州) 两个安全组是不互通的, focus项目时,开放了1955测试端口,curl http:xxx 一直访问不了原因:

  • 一开始 只开放了firewall-cmd 级别的端口,没有想到云ECS有安全组
  • 之后想到 有安全组,配置了安全规则 1955/1955,依然访问不通。
  • 安全组选错了杭州的,北京的安全组没有配置开放 1955/1955

1-2. 如果您使用的是轻量应用服务器,需要在防火墙中放行需要开通的端口,操作方法请参考:轻量应用服务器防火墙 。

2. 其次,

您需要在服务器内部确保对应的服务已经启动,并且监听了需要开通的端口,以下以80端口为例:

  • Linux系统可以通过执行 netstat -nupl | grep 80 的命令查看对应端口是否是监听的listen状态。
  • Windows系统可以通过执行 netstat -ano | findstr 80 命令查看端口是否监听状态 LISTEN 。
最后,您还需要在服务器内部的防火墙里确保对应端口已开放。

Linux系统常见的防火墙有 iptables、firewalld等,Windows系统常见的防火墙有 Windows防火墙、安全狗等。

以上三点确认无误后,请再测试端口是否可以正常连接。
如果依然访问不通,参考上面 focus 错误排查

附: 测试nginx启动成功 代理端口生效 小方法 nginx status
    location /ngx_status {
        stub_status on;
        access_log on;
        #allow 127.0.0.1;
        #deny all;
    }
三、配置firewalld 新用的防火墙软件
实例
# =============== 安装firewalld ===============
yum install firewalld firewall-config

systemctl start  firewalld # 启动
systemctl status firewalld # 或者 firewall-cmd --state 查看状态
systemctl disable firewalld # 停止
systemctl stop firewalld  # 禁用

# =============== 配置 ===============
firewall-cmd --version  # 查看版本
firewall-cmd --help     # 查看帮助

# 查看设置:
firewall-cmd --state  # 显示状态
firewall-cmd --get-active-zones  # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0  # 查看指定接口所属区域
firewall-cmd --panic-on  # 拒绝所有包
firewall-cmd --panic-off  # 取消拒绝状态
firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则
firewall-cmd --complete-reload
# 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务


# 将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0
# 永久生效再加上 --permanent 然后reload防火墙

# 设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public

# 查看所有打开的端口:
firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域:
firewall-cmd --zone=dmz --add-port=8080/tcp
# 若要永久生效方法同上

# 打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
firewall-cmd --zone=work --add-service=smtp

# 移除服务
firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表
firewall-cmd --get-zones

# 设置为家庭区域
firewall-cmd --set-default-zone=home

# 查看当前区域
firewall-cmd --get-active-zones

# 显示当前区域的接口
firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域(public)
firewall-cmd --zone=public --list-all

# 临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=enp03s
服务管理
# 显示服务列表  
Amanda, ftp, Samba和tftp等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

firewall-cmd --get-services

# 允许ssh服务通过(注:在 0.9.4 版本的firewalld上,不存在--enable 或 --disable 参数来开关服务。
)
firewall-cmd --enable service=ssh

# 禁止SSH服务通过
firewall-cmd --disable service=ssh

# 打开TCP的8080端口
firewall-cmd --enable ports=8080/tcp

# 临时允许Samba服务通过600秒
firewall-cmd --enable service=samba --timeout=600

# 显示当前服务
firewall-cmd --list-services

# 添加HTTP服务到内部区域(internal)
firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --reload     # 在不改变状态的条件下重新加载防火墙

端口管理

# 打开443/TCP端口
firewall-cmd --add-port=443/tcp

# 永久打开3690/TCP端口
firewall-cmd --permanent --add-port=3690/tcp

# 永久打开端口好像需要reload一下,临时打开好像不用,如果用了reload临时打开的端口就失效了
# 其它服务也可能是这样的,这个没有测试
firewall-cmd --reload

# 查看防火墙,添加的端口也可以看到
firewall-cmd --list-all
控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。

firewall-cmd --add-service=mysql        # 开放mysql端口
firewall-cmd --remove-service=http      # 阻止http端口
firewall-cmd --list-services            # 查看开放的服务
firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp         # 开放通过udp访问233
firewall-cmd --list-ports               # 查看开放的端口
伪装 IP
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade   # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP
端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:

  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。

端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。

阿里云ECS 相关 (二)

安全组
1. 开放3306端口给指定的IP

1-1. 如何获取自己的公网IP

1-2. 服务器内部防火墙放行这个规则

命令详细参见: https://my.oschina.net/u/4984817/blog/5592875

[root@iZ2ze6m4la2xm5wzpt7126Z ~]# firewall-cmd --list-ports 

20/tcp 21/tcp 22/tcp 80/tcp 443/tcp 1955/tcp 8080/tcp 8081/tcp 8082/tcp 8811/tcp 8888/tcp 8899/tcp 39000-40000/tcp 8080/udp 8081/udp 8082/udp 8811/udp 8899/udp

[root@iZ2ze6m4la2xm5wzpt7126Z ~]# firewall-cmd --add-port=3306/tcp --permanent --zone=public 
success
[root@iZ2ze6m4la2xm5wzpt7126Z ~]# firewall-cmd --reload 
success
[root@iZ2ze6m4la2xm5wzpt7126Z ~]# firewall-cmd --list-ports 

20/tcp 21/tcp 22/tcp 80/tcp 443/tcp 1955/tcp 3306/tcp 8080/tcp 8081/tcp 8082/tcp 8811/tcp 8888/tcp 8899/tcp 39000-40000/tcp 8080/udp 8081/udp 8082/udp 8811/udp 8899/udp
[root@iZ2ze6m4la2xm5wzpt7126Z ~]#
1-3. 登录mysql 创建新账号,授权远程登录 %
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION;
FLUSH PRIVILEGES;
2. 设置…
Centos7查看防火墙开放端口、状态、开放端口
hsc的博客
04-08 863
查看防火墙状态 命令:systemctl status firewalld [root@MyCloudServer home]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active:
阿里云服务器linux部署nginx-(阿里云服务器端口打不开解决方法-防火墙和安全组设置)
xingyuemengjin的博客
04-05 1888
本文介绍linux服务器部署nginx方法,并针对性对阿里云服务器解决了端口访问不了的解决方法(防火墙和安全组设置)
阿里云服务器开放端口的最最最正确的方法
桂林电子科技大学 -芳
04-26 4543
【代码】阿里云服务器端口无法访问ElasticSearch。
firewall-cmd 开放端口
Miss_Mario的专栏
03-21 878
firewall-cmd 开放端口
Centos7 防火墙开放端口查看状态,查看开放端口
zhoudatianchai的专栏
02-05 2629
CentOS7 端口开放关闭查看都是用防火墙来控制的,具体命令如下: 查看防火墙状态:(active (running) 即是开启状态) [root@WSS bin]# systemctl firewalld status Unknown operation 'firewalld'. [root@WSS bin]# systemctl status firewalld 查看开放端口...
如何查看firewall开放了哪些端口 笔记241129
kfepiza的博客
11-29 1187
如何查看firewall开放了哪些端口 笔记241129要查看firewall防火墙开放了哪些端口,可以根据操作系统的不同,采取不同的方法。
linux系统中查看防火墙开放端口状态 开放端口和禁用端口号操作命令
星卯教育-信奥教练tony
11-09 6477
添加指定需要开放端口firewall-cmd --add-port=80/tcp --permanent。移除指定端口firewall-cmd --permanent --remove-port=123/tcp。查询已开放端口列表:firewall-cmd --zone=public --list-ports。查询指定端口是否开启成功:firewall-cmd --query-port=80/tcp。查看想开的端口是否已开:firewall-cmd --query-port=80/tcp。
linux 防火墙对外开放端口查看
m0_51195633的博客
02-21 2831
linux 防火墙对外开放端口查看
CentOS7防火墙端口开放常用命令
LukeyAlvin的博客
01-23 3440
当然,你可以选择使用iptables来进行端口开放的操作,但是很多人会遇到 -bash: /etc/rc.d/init.d/iptables: No such file or directory这样致命的错误,目前本人未得到很好的解决,如有好的方法,希望大家留言相告,感激不尽! 防火墙firewall)常用命令 开启防火墙:(如报错,参考第三项) systemctl start fire...
阿里云服务器tomcat+ngnix中部署项目修改端口号的坑
qq_45666248的博客
08-23 349
tomcat修改端口号: 1.编辑server.xml 2. 69行修改你想要的端口号计即可 3.重启tomcat nginx修改端口号 编辑配置文件 //站点 server { listen 8031;//访问端口 server_name www.yy.cn;//访问地址 location / { root /home/dadada/h5/dd;//项目所在路径 index in
05 centos实战之解决端口无法访问
文刀耳日
01-10 5476
1. 问题描述 服务器网站部署好了,但无法在浏览器访问? 2. 解决记录 1). 检查是否程序有问题,确定网站是否正常? 上次运行的时候重定向了日志输出,这个时候派上了用场,使用命令查看日志文件,日志文件般比较多,不推荐使用cat,我使用more,可以翻页查看 more xxx.out 通过日志查看,程序运行正常,此项检查通过。 2). 既然程序运行是正常的,外部又不能访问,那么内部可以访问吗? 这个地方我使用curl命令在centos服务器中访问网站首页,代码如下: cur.
华为云Centos 7.4安装、配置FTP服务器vsftpd
qiantanlong的博客
09-30 4788
        由于需要个FTP服务器使用,平时上传下载文档类的小文件,就买了华为云的服务器,Linux系统,Centos7.4版本,带宽1M比较小,但是个人使用是还可以的。但是搭建FTP服务器的过程是很狗血的,网络上的资料零散而千头万绪,顿采坑,终于在本人的坚持努力下,经历了几次三番的VM虚拟机上的vsftpd服务的安装卸载后,搞定了。出于我不为大家填坑,谁为大家填坑的精神,将搭建的最终版...
centos 7 firewall(防火墙)开放端口/删除端口/查看端口
热门推荐
qq_36663951的博客
08-27 6万+
centos 7 firewall(防火墙)开放端口/删除端口/查看端口 1.firewall的基本启动/停止/重启命令 #centos7启动防火墙 systemctl start firewalld.service #centos7停止防火墙/关闭防火墙 systemctl stop firewalld.service #centos7重启防火墙 systemctl restart fir...
firewalld查看哪个端口开放
Romanticn_chu的博客
05-24 3182
firewall-cmd --list-all (查看该机器有几个端口开发) [root@localhost Bastillion-jetty]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: ens33 sources: services: ssh dhcpv6-client ports: 8443/tcp (8443端口开放
Linux 命令】云服务器 ECS (CentOS) 开启防火墙操作
zimeng303的博客
01-13 871
@[TOC](Linux 命令】云服务器 ECS (CentOS)防火墙操作) 1, 查看防火墙状态: firewall-cmd --state # 或 systemctl status firewalld.service 执行结果,如图所示: 2, 开启防火墙: systemctl start firewalld.service 3,设置开机自启: systemctl enable firewalld.service 4, 重启防火墙firewall-
linux查看防火墙开放端口
zhang1587423114的博客
03-09 4447
netstat -ntulp |grep 3306 //查看所有3306 端口使用情况。--add-port=3306/tcp #添加端口,格式为:端口/通讯协议。1、查看防火墙状态:active (running) 即是开启状态。--permanent #永久生效,没有此参数重启后失效。netstat -ntlp //查看当前所有tcp端口。6、配置结束后需要输入重载命令并重启防火墙以生效配置。8、配置firewalld-cmd命令。3、查看所有已开放端口。--zone #作用域。
linux查看防火墙,开发端口
lgq2016的博客
03-21 1278
5、 添加临时开放端口(例如:比如我修改ssh远程连接端口是223,则需要开放这个端口)9、 配置结束后需要输入重载命令并重启防火墙以生效配置firewall-cmd --reload(可省略)2、如果不是显示active状态,需要打开防火墙。6、 添加永久开放端口(例如:223端口)3、查看所有已开放的临时端口(默认为空)4、 查看所有永久开放端口(默认为空)
设置云服务器防火墙端口
qq_49172635的博客
02-16 554
设置云服务器上的端口
服务器配置防火墙开放部分端口
lailaiquququ11的博客
12-21 398
root@Mrtan bin]# firewall-cmd --zone=public --add-port=18083/tcp --permanent success [root@Mrtan bin]# systemctl restart firewalld [root@Mrtan bin]# firewall-cmd --zone=public --add-port=3306/tcp --pe...
阿里云服务器怎么安装ws库,具体操作
最新发布
03-28
<think>嗯,用户问的是如何在阿里云服务器上安装ws库。首先,我需要确定ws库指的是什么。在Node.js环境中,常用的WebSocket库是ws,所以用户可能是指这个。接下来,我要考虑阿里云服务器的操作系统,般常见的是Linux,比如Ubuntu或CentOS,所以步骤可能需要分不同系统来写,不过有时候可以统处理,比如使用npm安装的话,可能步骤差不多。 用户可能已经有定的服务器操作基础,但可能不太熟悉Node.js环境的配置。所以需要从安装Node.js和npm开始。首先,需要确认系统是否已经安装了Node.js和npm,如果没有的话,就需要先安装。对于不同的Linux发行版,安装方法可能不同,比如Ubuntu使用apt,CentOS使用yum或者dnf。 然后,使用npm全局安装还是项目内安装ws库。般情况下,如果是项目依赖,建议在项目目录下安装,但用户可能需要全局安装,所以需要给出两种选项。此外,可能需要提到权限问题,比如使用sudo或者在用户目录下配置npm全局路径,避免权限错误。 另外,用户可能在使用过程中遇到防火墙问题,比如阿里云的安全组配置没有开放WebSocket使用的端口(比如8080),所以需要提醒用户检查安全组设置,放行相应端口。同时,服务器本地的防火墙(如ufw或firewalld)也需要配置,允许端口通过。 测试部分,提供个简单的WebSocket服务器示例是必要的,这样用户可以直接运行并检查是否安装成功。同时,说明如何通过客户端连接,比如使用浏览器开发者工具或者在线WebSocket测试工具,来验证服务是否正常运行。 可能还需要提到版本兼容性问题,建议用户安装LTS版本的Node.js,以确保ws库的兼容性。此外,如果用户使用的是其他环境,比如Python的ws库,可能需要进步澄清,但根据常见情况,先假设是Node.js的ws库。 最后,总结步骤,确保用户按照流程操作,从安装Node.js到配置防火墙,再到测试,每步都清晰。同时,提醒用户注意权限和路径问题,避免常见错误。</think>在阿里云服务器上安装Node.js的`ws`库(WebSocket库)的步骤如下: --- ### 、前置条件 1. **登录服务器** 使用SSH工具连接阿里云ECS实例: ```bash ssh root@your_server_ip # 替换为你的服务器IP ``` 2. **更新系统包** ```bash sudo apt update # Ubuntu/Debian # 或 sudo yum update # CentOS/RHEL ``` --- ### 二、安装Node.js环境(若未安装) 1. **通过NodeSource安装(推荐)** ```bash # Ubuntu/Debian curl -fsSL https://deb.nodesource.com/setup_lts.x | sudo -E bash - sudo apt install -y nodejs # CentOS/RHEL curl -fsSL https://rpm.nodesource.com/setup_lts.x | sudo bash - sudo yum install -y nodejs ``` 2. **验证安装** ```bash node -v # 应输出类似 v18.x.x npm -v # 应输出类似 9.x.x ``` --- ### 三、安装`ws`库 1. **项目内安装(推荐)** ```bash mkdir my-ws-project && cd my-ws-project # 创建项目目录 npm init -y # 初始化package.json npm install ws # 安装ws库 ``` 2. **全局安装(可选)** ```bash sudo npm install -g ws # 可能需要管理员权限 ``` --- ### 四、验证安装 1. **创建测试文件** 新建文件 `server.js`,写入以下代码: ```javascript const WebSocket = require('ws'); const wss = new WebSocket.Server({ port: 8080 }); wss.on('connection', function connection(ws) { ws.on('message', function incoming(message) { console.log('Received: %s', message); }); ws.send('Connected to WebSocket server!'); }); console.log('WebSocket server running on port 8080'); ``` 2. **运行服务器** ```bash node server.js ``` 3. **测试连接** 通过浏览器开发者工具或在线WebSocket工具(如 https://websocket.org/tools/)连接: ```javascript const ws = new WebSocket('ws://your_server_ip:8080'); ``` --- ### 五、防火墙配置(关键步骤!) 1. **阿里云安全组规则** - 登录阿里云控制台 → 进入ECS实例 → 安全组 → 添加入方向规则: - 端口范围:`8080` - 授权对象:`0.0.0.0/0`(或指定IP) 2. **服务器本地防火墙** ```bash # Ubuntu/Debian (ufw) sudo ufw allow 8080 sudo ufw reload # CentOS/RHEL (firewalld) sudo firewall-cmd --permanent --add-port=8080/tcp sudo firewall-cmd --reload ``` --- ### 六、常见问题 1. **权限问题** - 若使用非root用户,需添加权限: ```bash sudo chown -R $(whoami) ~/.npm # 修复npm全局安装权限 ``` 2. **端口冲突** - 确保端口`8080`未被其他服务占用,或修改代码中的端口号。 --- **总结步骤**:安装Node.js → 创建项目 → 安装`ws` → 编写代码 → 开放端口 → 测试连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值