0X00 firewalld 守护进程

firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalldfirewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

0X01 控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。



  1. firewall-cmd --add-service=mysql # 开放mysql端口
    2. 

  2. firewall-cmd --remove-service=http # 阻止http端口
    3. 

  3. firewall-cmd --list-services # 查看开放的服务
    4. 

    5. 

  5. firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
    6. 

  6. firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
    7. 

  7. firewall-cmd --add-port=233/udp # 开放通过udp访问233
    8. 

  8. firewall-cmd --list-ports # 查看开放的端口


0X02 伪装 IP


防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。




  1. firewall-cmd --query-masquerade # 检查是否允许伪装IP
    2. 

  2. firewall-cmd --add-masquerade # 允许防火墙伪装IP
    3. 

  3. firewall-cmd --remove-masquerade# 禁止防火墙伪装IP


0X03 端口转发


端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:


  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
    2. 

  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP




  1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
    2. 

  2. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
    3. 

  3. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口


  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
    2. 

  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
												


											
CentOS7 中使用 firewall-cmd 控制端口和端口转发的更多相关文章
	

    
						
  1. CentOS7中关闭firewall,并使用iptables管理防火墙
		
    背景描述 在使用Docker时,启用centos7默认的firewall,启动端口映射时,防火墙规则不生效.docker默认使用了iptables防火墙机制.所以需要关闭firewall使用iptab ...
    
		
    2. 
								
  2. CentOS7下用firewall-cmd控制端口与端口转发
		
    1.firewalld 守护进程 2.控制端口/服务 3.伪装IP 4.端口转发 实现目标:服务器A和服务器B都是内网互通的,但是只有服务器A是有外网然后现在做端口转发实现服务器B能使用服务器A的外网 ...
    
		
    3. 
						
  3. CentOS7中firewalld的安装与使用详解
		
    一.软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二.安装firewall ...
    
		
    4. 
						
  4. CentOS7 防火墙(firewall)的操作命令
		
    CentOS7 防火墙(firewall)的操作命令 安装:yum install firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查 ...
    
		
    5. 
						
  5. CentOS中防火墙相关的命令(CentOS7中演示)
		
    CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-se ...
    
		
    6. 
						
  6. 【原创】主机不能访问虚拟机CentOS7中的站点
		
    主机不能访问虚拟机CentOS7中的站点 ================================ 虚拟机上装好了centos7,并配好了nginx+php+mysql,但是本机就是无法访问. ...
    
		
    7. 
						
  7. 在centos7中限制kvm虚拟机可访问的资源
		
    最近通过艰苦卓绝的度娘(我很想用谷歌,可是,你懂的),终于搞明白如何在centos7中限制kvm虚拟机可访问的资源了.度娘给出的结果中,大部分都说的很对,然而,却很难照着做,主要原因有两点:1.网上的 ...
    
		
    8. 
						
  8. Centos7中hadoop配置
		
    Centos7中hadoop配置 1.下载centos7安装教程: http://jingyan.baidu.com/article/a3aad71aa180e7b1fa009676.html (注意 ...
    
		
    9. 
						
  9. centos7中安装、配置、验证、卸载redis
		
    本文介绍在centos7中安装.配置.验证.卸载redis等操作,以及在使用redis中的一些注意事项. 一 安装redis 1 创建redis的安装目录 利用以下命令,切换到/usr/local路径 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. html常用标签及属性,常用英语单词
			
    目录 html常用标签 html常用标签属性 前端常用英语单词表(未完待续) 欢迎评论点赞交流,转发请添加原博客连接谢谢! Ctrl键+F 可以查找你想要的内容哦! html常用标签 htmi结构 & ...
    
			
    2. 
						
  2. [Swift]LeetCode1079. 活字印刷 | Letter Tile Possibilities
			
    ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★➤微信公众号:山青咏芝(shanqingyongzhi)➤博客园地址:山青咏芝(https://www.cnblogs. ...
    
			
    3. 
						
  3. ASPNET Core 2.x中的Kestrel服务器
			
    原文链接 Kestrel是一个基于libuv的跨平台ASP.NET Core web服务器,libuv是一个跨平台的异步I/O库.ASP.NET Core模板项目使用Kestrel作为默认的web服务 ...
    
			
    4. 
						
  4. jquery.jscrollpane.js滚动速度设置
			
    首先找到插件里面的这个函数,改变成下面的样子: function initMousewheel() { container.unbind(mwEvent).bind( mwEvent, functio ...
    
			
    5. 
						
  5. Struts2拦截器再认识
			
    拦截器(Interceptor)是 Struts 2 的核心组成部分. Struts2 很多功能都是构建在拦截器基础之上的,例如文件的上传和下载.国际化.数据类型转换和数据校验等等. Struts2  ...
    
			
    6. 
						
  6. net core建站
			
    带你快速进入.net core的世界   阅读目录   vmware虚拟机安装 CentOS7.3安装 Windows的客户端软件 .NET Core1.1安装 nginx1.12.1安装 配置防火墙 ...
    
			
    7. 
						
  7. MS SqlServer之Exec和EXEC SP_EXECUTESQL
			
    exec执行sql时字符串时,不能给变量赋值,如果要在sql里给变量赋值,请用EXEC SP_EXECUTESQL 示例: 通过 SP_EXECUTESQL 的第2个参数来定义有哪些参数 输出的加OU ...
    
			
    8. 
						
  8. C#使用GZipStream实现压缩和解压缩
			
    前言 我们在项目中,有可能会遇到存入到数据库或者传输的数据量比较大,这个时候,就可以考虑在存入数据库或者发送传输之前,将数据压缩下,当从数据库中取出时,再解压还原数据. 正文 废话不多说,我封装了一个 ...
    
			
    9. 
						
  9. Java中的构造函数——通过示例学习Java编程(14)
			
      作者:CHAITANYA SINGH 来源:https://www.koofun.com//pro/kfpostsdetail?kfpostsid=25 构造函数是用来初始化新创建的对象的代码块. ...
    
			
    10. 
						
  10. sql 容易被忽视的点
			
    1 dual select查询语句只有select就可以,但为了规范,凑结构,可以加个dual 例:select now() from dual; 这个概念是Oracle中的.在mysql中可写可不写 ...
    
			
    11.