0X00 firewalld 守护进程

firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalldfirewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

0X01 控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。



  1. firewall-cmd --add-service=mysql # 开放mysql端口
    2. 

  2. firewall-cmd --remove-service=http # 阻止http端口
    3. 

  3. firewall-cmd --list-services # 查看开放的服务
    4. 

    5. 

  5. firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
    6. 

  6. firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
    7. 

  7. firewall-cmd --add-port=233/udp # 开放通过udp访问233
    8. 

  8. firewall-cmd --list-ports # 查看开放的端口


0X02 伪装 IP


防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。




  1. firewall-cmd --query-masquerade # 检查是否允许伪装IP
    2. 

  2. firewall-cmd --add-masquerade # 允许防火墙伪装IP
    3. 

  3. firewall-cmd --remove-masquerade# 禁止防火墙伪装IP


0X03 端口转发


端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:


  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
    2. 

  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP




  1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
    2. 

  2. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
    3. 

  3. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口


  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
    2. 

  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
												


											
CentOS7 中使用 firewall-cmd 控制端口和端口转发的更多相关文章
	

    
						
  1. CentOS7中关闭firewall,并使用iptables管理防火墙
		
    背景描述 在使用Docker时,启用centos7默认的firewall,启动端口映射时,防火墙规则不生效.docker默认使用了iptables防火墙机制.所以需要关闭firewall使用iptab ...
    
		
    2. 
								
  2. CentOS7下用firewall-cmd控制端口与端口转发
		
    1.firewalld 守护进程 2.控制端口/服务 3.伪装IP 4.端口转发 实现目标:服务器A和服务器B都是内网互通的,但是只有服务器A是有外网然后现在做端口转发实现服务器B能使用服务器A的外网 ...
    
		
    3. 
						
  3. CentOS7中firewalld的安装与使用详解
		
    一.软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二.安装firewall ...
    
		
    4. 
						
  4. CentOS7 防火墙(firewall)的操作命令
		
    CentOS7 防火墙(firewall)的操作命令 安装:yum install firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查 ...
    
		
    5. 
						
  5. CentOS中防火墙相关的命令(CentOS7中演示)
		
    CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-se ...
    
		
    6. 
						
  6. 【原创】主机不能访问虚拟机CentOS7中的站点
		
    主机不能访问虚拟机CentOS7中的站点 ================================ 虚拟机上装好了centos7,并配好了nginx+php+mysql,但是本机就是无法访问. ...
    
		
    7. 
						
  7. 在centos7中限制kvm虚拟机可访问的资源
		
    最近通过艰苦卓绝的度娘(我很想用谷歌,可是,你懂的),终于搞明白如何在centos7中限制kvm虚拟机可访问的资源了.度娘给出的结果中,大部分都说的很对,然而,却很难照着做,主要原因有两点:1.网上的 ...
    
		
    8. 
						
  8. Centos7中hadoop配置
		
    Centos7中hadoop配置 1.下载centos7安装教程: http://jingyan.baidu.com/article/a3aad71aa180e7b1fa009676.html (注意 ...
    
		
    9. 
						
  9. centos7中安装、配置、验证、卸载redis
		
    本文介绍在centos7中安装.配置.验证.卸载redis等操作,以及在使用redis中的一些注意事项. 一 安装redis 1 创建redis的安装目录 利用以下命令,切换到/usr/local路径 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. [Xcode 实际操作]六、媒体与动画-(10)UIView视图翻转动的画制作
			
    目录:[Swift]Xcode实际操作 本文将演示翻转动画的制作. 在项目导航区,打开视图控制器的代码文件[ViewController.swift] import UIKit class ViewC ...
    
			
    2. 
						
  2. HTML <!doctype>声明
			
    昨天看代码的时候,发现在<!doctype>中添加了新的属性,以前写代码的时候并不会在该声明里添加新的属性.昨天看到了,就把它记下来学习一下,顺便整理成文档.以便日后复习. <!DO ...
    
			
    3. 
						
  3. IT兄弟连 JavaWeb教程 监听器3
			
    监听域对象中属性变更的监听器 域对象中属性的变更的事件监听器就是用来监听ServletContext.HttpSession.HttpServletRequest这三个对象中的属性变更信息事件的监听器 ...
    
			
    4. 
						
  4. 关于HTML5画布canvas的功能
			
    一.画布的使用 1.首先创建一个画布(canvas) <canvas id=”myCanvas” width=”200” height=”100” style=”border:1px solid ...
    
			
    5. 
						
  5. 第一个Three.js程序——加入相机
			
    
			
    6. 
						
  6. echart 初级尝试
			
    var option = { title: { text: 'ECharts 入门示例'//标题 }, legend: { data:['销量']//图例 }, xAxis: { data: [&qu ...
    
			
    7. 
						
  7. Python基本的数据类型(补发)
			
    python基本的数据类型   一.python的基本数据类型 int => 整数,主要用来进行数学运算 str ==> 字符串 可以用来保存少量数据并进行相应操作 bool ==> ...
    
			
    8. 
						
  8. centos虚拟机安装指定版本docker
			
    环境: centos 7.6+ docker-ce 17.03.2 安装依赖包 yum -y install yum-utils device-mapper-persistent-data lvm2  ...
    
			
    9. 
						
  9. ruby 数组array 排序sort 和sort!
			
    1. sort → new_ary click to toggle source sort { |a, b| block } → new_ary Returns a new array created ...
    
			
    10. 
						
  10. 关于使用mybatis的分页插件问题
			
    首先我需要导入架包 1.pagehelper 如果你是在mybatis中配置分页‘ 如下代码 <plugins> <plugin interceptor="com.gith ...
    
			
    11.