0X00 firewalld 守护进程

firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalldfirewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

0X01 控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。



  1. firewall-cmd --add-service=mysql # 开放mysql端口
    2. 

  2. firewall-cmd --remove-service=http # 阻止http端口
    3. 

  3. firewall-cmd --list-services # 查看开放的服务
    4. 

    5. 

  5. firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
    6. 

  6. firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
    7. 

  7. firewall-cmd --add-port=233/udp # 开放通过udp访问233
    8. 

  8. firewall-cmd --list-ports # 查看开放的端口


0X02 伪装 IP


防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。




  1. firewall-cmd --query-masquerade # 检查是否允许伪装IP
    2. 

  2. firewall-cmd --add-masquerade # 允许防火墙伪装IP
    3. 

  3. firewall-cmd --remove-masquerade# 禁止防火墙伪装IP


0X03 端口转发


端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:


  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
    2. 

  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP




  1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
    2. 

  2. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
    3. 

  3. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口


  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
    2. 

  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
												


											
CentOS7 中使用 firewall-cmd 控制端口和端口转发的更多相关文章
	

    
						
  1. CentOS7中关闭firewall,并使用iptables管理防火墙
		
    背景描述 在使用Docker时,启用centos7默认的firewall,启动端口映射时,防火墙规则不生效.docker默认使用了iptables防火墙机制.所以需要关闭firewall使用iptab ...
    
		
    2. 
								
  2. CentOS7下用firewall-cmd控制端口与端口转发
		
    1.firewalld 守护进程 2.控制端口/服务 3.伪装IP 4.端口转发 实现目标:服务器A和服务器B都是内网互通的,但是只有服务器A是有外网然后现在做端口转发实现服务器B能使用服务器A的外网 ...
    
		
    3. 
						
  3. CentOS7中firewalld的安装与使用详解
		
    一.软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二.安装firewall ...
    
		
    4. 
						
  4. CentOS7 防火墙(firewall)的操作命令
		
    CentOS7 防火墙(firewall)的操作命令 安装:yum install firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查 ...
    
		
    5. 
						
  5. CentOS中防火墙相关的命令(CentOS7中演示)
		
    CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-se ...
    
		
    6. 
						
  6. 【原创】主机不能访问虚拟机CentOS7中的站点
		
    主机不能访问虚拟机CentOS7中的站点 ================================ 虚拟机上装好了centos7,并配好了nginx+php+mysql,但是本机就是无法访问. ...
    
		
    7. 
						
  7. 在centos7中限制kvm虚拟机可访问的资源
		
    最近通过艰苦卓绝的度娘(我很想用谷歌,可是,你懂的),终于搞明白如何在centos7中限制kvm虚拟机可访问的资源了.度娘给出的结果中,大部分都说的很对,然而,却很难照着做,主要原因有两点:1.网上的 ...
    
		
    8. 
						
  8. Centos7中hadoop配置
		
    Centos7中hadoop配置 1.下载centos7安装教程: http://jingyan.baidu.com/article/a3aad71aa180e7b1fa009676.html (注意 ...
    
		
    9. 
						
  9. centos7中安装、配置、验证、卸载redis
		
    本文介绍在centos7中安装.配置.验证.卸载redis等操作,以及在使用redis中的一些注意事项. 一 安装redis 1 创建redis的安装目录 利用以下命令,切换到/usr/local路径 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. js的Element.scrollIntoView的学习
			
    1.Element.scrollIntoView()    该方法让当前元素滚动到浏览器窗口的可是区域内: 2.语法: element.scrollIntoView();//等同于element.sc ...
    
			
    2. 
						
  2. React中方法的this绑定
			
    第一种 在组件(类)的constructor中绑定this class Demo extends Component { constructor(this) { super(this) this.st ...
    
			
    3. 
						
  3. Codeforces Round #562 (Div. 2) B. Pairs
			
    链接:https://codeforces.com/contest/1169/problem/B 题意: Toad Ivan has mm pairs of integers, each intege ...
    
			
    4. 
						
  4. oracle rollback 观察时间
			
    ###########issue 0: db alert 有如下提示, thread 1 cannot allocatete new log, sequenec 1111 通过检查v$log ,发现1 ...
    
			
    5. 
						
  5. Java中的Validated验证
			
    注意点:在使用@NotBlank时,必须与@Valid配着使用,不然不起作用(出现了很奇怪的现象,我第一次试的时候确实有这情况,但是第二次的时候这情况没了,所以这个说不准) @NotBlank 用在S ...
    
			
    6. 
						
  6. 一个好用的压力测试工具tsung
			
    一个好用的压力测试工具tsung          前段时间一直在忙各种事情,快三周没弄过引擎了,今天有点时间,正好之前写的服务器引擎也到了收尾测试的阶段,于是就研究了下怎么测试服务器压力.      ...
    
			
    7. 
						
  7. Flat UI theme--扁平化的UI
			
    项目地址:点击打开 支持版本: jQuery Mobile 1.3.2 使用很简单,前提是你的前端是在jquery-mobile的基础上开发的,然后导入相应的css文件.img文件和js文件即可. 案 ...
    
			
    8. 
						
  8. ECSHOP 商品增加新字段的方法
			
    在ecshop二次开发工作中,经常碰到一些ECSHOP高级使用者问我,如何给商品增加一个新字段,来录入一些新的内容. 下面我们结合ecshop后台“商品编辑”.“商品录入”来谈谈如何给ecshop商品 ...
    
			
    9. 
						
  9. Country roads take me home, to the place I belong.
			
    Country roads take me home, to the place I belong.故乡的路,带我回家吧,回到我期盼已久的归宿.
    
			
    10. 
						
  10. base-command
			
    命令分类 自带命令 工具型 文件系统 第三方命令 CLI GUI 操作文件系统 pwd(print working directory) ls(list files) ls 列出当前目录文件 ls 目 ...
    
			
    11.