欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

CentOS 7下用firewall-cmd控制端口與端口轉(zhuǎn)發(fā)詳解

 更新時(shí)間:2017年05月02日 14:13:10   作者:lang  
這篇文章主要給大家介紹了在CentOS 7下用firewall-cmd控制端口與端口轉(zhuǎn)發(fā)的相關(guān)資料,文中介紹的非常詳細(xì),對(duì)大家具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下來來一起看看吧。

一、firewalld 守護(hù)進(jìn)程

firewall-cmd命令需要firewalld進(jìn)程處于運(yùn)行狀態(tài)。我們可以使用systemctl status/start/stop/restart firewalld來控制這個(gè)守護(hù)進(jìn)程。firewalld進(jìn)程為防火墻提供服務(wù)。

當(dāng)我們修改了某些配置之后(尤其是配置文件的修改),firewall并不會(huì)立即生效??梢酝ㄟ^兩種方式來激活最新配置systemctl restart firewalldfirewall-cmd --reload兩種方式,前一種是重啟firewalld服務(wù),建議使用后一種“重載配置文件”。重載配置文件之后不會(huì)斷掉正在連接的tcp會(huì)話,而重啟服務(wù)則會(huì)斷開tcp會(huì)話。

二、控制端口/服務(wù)

可以通過兩種方式控制端口的開放,一種是指定端口號(hào)另一種是指定服務(wù)名。雖然開放http服務(wù)就是開放了80端口,但是還是不能通過端口號(hào)來關(guān)閉,也就是說通過指定服務(wù)名開放的就要通過指定服務(wù)名關(guān)閉;通過指定端口號(hào)開放的就要通過指定端口號(hào)關(guān)閉。還有一個(gè)要注意的就是指定端口的時(shí)候一定要指定是什么協(xié)議,tcp還是udp。知道這個(gè)之后以后就不用每次先關(guān)防火墻了,可以讓防火墻真正的生效。

firewall-cmd --add-service=mysql # 開放mysql端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --list-services  # 查看開放的服務(wù)
firewall-cmd --add-port=3306/tcp # 開放通過tcp訪問3306
firewall-cmd --remove-port=80tcp # 阻止通過tcp訪問3306
firewall-cmd --add-port=233/udp  # 開放通過udp訪問233
firewall-cmd --list-ports  # 查看開放的端口

三、偽裝IP

防火墻可以實(shí)現(xiàn)偽裝IP的功能,下面的端口轉(zhuǎn)發(fā)就會(huì)用到這個(gè)功能。

firewall-cmd --query-masquerade # 檢查是否允許偽裝IP
firewall-cmd --add-masquerade # 允許防火墻偽裝IP
firewall-cmd --remove-masquerade# 禁止防火墻偽裝IP

四、端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)可以將指定地址訪問指定的端口時(shí),將流量轉(zhuǎn)發(fā)至指定地址的指定端口。轉(zhuǎn)發(fā)的目的如果不指定ip的話就默認(rèn)為本機(jī),如果指定了ip卻沒指定端口,則默認(rèn)使用來源端口。

如果配置好端口轉(zhuǎn)發(fā)之后不能用,可以檢查下面兩個(gè)問題:

  • 比如我將80端口轉(zhuǎn)發(fā)至8080端口,首先檢查本地的80端口和目標(biāo)的8080端口是否開放監(jiān)聽了
  • 其次檢查是否允許偽裝IP,沒允許的話要開啟偽裝IP
# 將80端口的流量轉(zhuǎn)發(fā)至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080
# 將80端口的流量轉(zhuǎn)發(fā)至
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1
# 將80端口的流量轉(zhuǎn)發(fā)至192.168.0.1的8080端口
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080
  • 當(dāng)我們想把某個(gè)端口隱藏起來的時(shí)候,就可以在防火墻上阻止那個(gè)端口訪問,然后再開一個(gè)不規(guī)則的端口,之后配置防火墻的端口轉(zhuǎn)發(fā),將流量轉(zhuǎn)發(fā)過去。
  • 端口轉(zhuǎn)發(fā)還可以做流量分發(fā),一個(gè)防火墻拖著好多臺(tái)運(yùn)行著不同服務(wù)的機(jī)器,然后用防火墻將不同端口的流量轉(zhuǎn)發(fā)至不同機(jī)器。

總結(jié)

以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來一定的幫助,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持。

相關(guān)文章

最新評(píng)論