0X00 firewalld 守护进程

firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalldfirewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

0X01 控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。



  1. firewall-cmd --add-service=mysql # 开放mysql端口
    2. 

  2. firewall-cmd --remove-service=http # 阻止http端口
    3. 

  3. firewall-cmd --list-services # 查看开放的服务
    4. 

    5. 

  5. firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
    6. 

  6. firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
    7. 

  7. firewall-cmd --add-port=233/udp # 开放通过udp访问233
    8. 

  8. firewall-cmd --list-ports # 查看开放的端口


0X02 伪装 IP


防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。




  1. firewall-cmd --query-masquerade # 检查是否允许伪装IP
    2. 

  2. firewall-cmd --add-masquerade # 允许防火墙伪装IP
    3. 

  3. firewall-cmd --remove-masquerade# 禁止防火墙伪装IP


0X03 端口转发


端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:


  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
    2. 

  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP




  1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
    2. 

  2. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
    3. 

  3. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口


  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
    2. 

  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
												


											
CentOS7 中使用 firewall-cmd 控制端口和端口转发的更多相关文章
	

    
						
  1. CentOS7中关闭firewall,并使用iptables管理防火墙
		
    背景描述 在使用Docker时,启用centos7默认的firewall,启动端口映射时,防火墙规则不生效.docker默认使用了iptables防火墙机制.所以需要关闭firewall使用iptab ...
    
		
    2. 
								
  2. CentOS7下用firewall-cmd控制端口与端口转发
		
    1.firewalld 守护进程 2.控制端口/服务 3.伪装IP 4.端口转发 实现目标:服务器A和服务器B都是内网互通的,但是只有服务器A是有外网然后现在做端口转发实现服务器B能使用服务器A的外网 ...
    
		
    3. 
						
  3. CentOS7中firewalld的安装与使用详解
		
    一.软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二.安装firewall ...
    
		
    4. 
						
  4. CentOS7 防火墙(firewall)的操作命令
		
    CentOS7 防火墙(firewall)的操作命令 安装:yum install firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查 ...
    
		
    5. 
						
  5. CentOS中防火墙相关的命令(CentOS7中演示)
		
    CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-se ...
    
		
    6. 
						
  6. 【原创】主机不能访问虚拟机CentOS7中的站点
		
    主机不能访问虚拟机CentOS7中的站点 ================================ 虚拟机上装好了centos7,并配好了nginx+php+mysql,但是本机就是无法访问. ...
    
		
    7. 
						
  7. 在centos7中限制kvm虚拟机可访问的资源
		
    最近通过艰苦卓绝的度娘(我很想用谷歌,可是,你懂的),终于搞明白如何在centos7中限制kvm虚拟机可访问的资源了.度娘给出的结果中,大部分都说的很对,然而,却很难照着做,主要原因有两点:1.网上的 ...
    
		
    8. 
						
  8. Centos7中hadoop配置
		
    Centos7中hadoop配置 1.下载centos7安装教程: http://jingyan.baidu.com/article/a3aad71aa180e7b1fa009676.html (注意 ...
    
		
    9. 
						
  9. centos7中安装、配置、验证、卸载redis
		
    本文介绍在centos7中安装.配置.验证.卸载redis等操作,以及在使用redis中的一些注意事项. 一 安装redis 1 创建redis的安装目录 利用以下命令,切换到/usr/local路径 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. thinkphp5修改入口文件位置及相应的问题
			
    问题1:thinkphp5修改入口文件 解决:参考手册 http://www.kancloud.cn/manual/thinkphp5/129746,然后需要把.htaccess跟入口文件放到同一目录 ...
    
			
    2. 
						
  2. 登录案例version1 基本登录+验证码
			
    package com.frxx.web.servlet; import com.frxx.domain.User; import com.frxx.service.impl.UserServiceI ...
    
			
    3. 
						
  3. STP-12-MST工作原理
			
    MST将网络划分为一或多个区域.一个MST区域是一组以相同方式共同使用MST的交换机——除了其他特性外,它们运行相同数量的MST实例,并在这些实例上映射相同的VLAN集合. 例如,在下图中,工程师定义 ...
    
			
    4. 
						
  4. JavaScript 与 CSS 滚动实现最新指南
			
    一些(网站)滚动的效果是如此令人着迷但你却不知该如何实现,本文将为你揭开它们的神秘面纱.我们将基于最新的技术与规范为你介绍最新的 JavaScript 与 CSS 特性,(当你付诸实践时)将使你的页面 ...
    
			
    5. 
						
  5. 小技巧(updating)
			
    小技巧 我们要算一个点集中所有点到另一个点集中所有点的一些量的时候,可以建立一个超级源点和超级汇点,从多->多变成单->单 整体二分的时候,操作要可以撤销,才能保证复杂度,每一层到左边区间 ...
    
			
    6. 
						
  6. ZROI WC Round1 题解
			
    ZROI WC Round1 题解 Problem A 题意 一个 \(n \times m\) 格子图,一个人从左上角出发,每次向右或者向下走一格,方法如下: 如果他在最下面一排,那么他会往右行走. ...
    
			
    7. 
						
  7. (转)命令passwd报错因inode节点处理记录
			
    命令passwd报错因inode节点处理记录 原文:http://blog.sina.com.cn/s/blog_506ed9e6010106kj.html 故障现象:      1.修改密码时报错  ...
    
			
    8. 
						
  8. html学习笔记-XML-Javascript
			
    html学习笔记-XML-Javascript Table of Contents 1. XML HTTP Request 1.1. XMLHttpRequest 对象 1.2. 创建 XMLHttp ...
    
			
    9. 
						
  9. 1068 乌龟棋  2010年NOIP全国联赛提高组
			
    1068 乌龟棋 2010年NOIP全国联赛提高组  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 钻石 Diamond 题解  查看运行结果     题目描述 Descrip ...
    
			
    10. 
						
  10. JFinal免费公开课更新中
			
    价值千元的课程,免费报名学习,JFinal学院-小木 录制JFinal视频教程,JFinal核心已经周边涉及到微信小程序开发.数据库.前端实战等.
    
			
    11.