防火墻與端口開放 · PHP筆記

## 如何查看遠程端口是否打開使用netcat ~~~ yum install nc ~~~ 檢查192.168.1.15的22端口是否開放 ~~~ nc -zv 192.168.1.15 22 ~~~ **多個端口查詢** 檢查遠程主機 192.168.5.10 上是否打開了端口 80、22 和 21 ~~~ nc -zv 192.168.56.10 80 22 21 ~~~ # **端口訪問設置** >[danger]端口的開放有兩種方式即firewall與iptables 區別： >* CentOS默認安裝了firewalld，在 RHEL7 系統中，firewall 取代了 iptables。在 service 層面，兩者是平級的，firewall 還是調用了 iptables 的 command，去執行內核的 netfilter >* iptables service 在 /etc/sysconfig/iptables 中儲存配置，而 firewalld 將配置儲存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種 XML 文件里。要注意，當 firewalld 在Red Hat Enterprise Linux上安裝失敗時， /etc/sysconfig/iptables 文件就不存在。 >* 使用 iptables service，每一個單獨更改意味著清除所有舊有的規則和從 /etc/sysconfig/iptables里讀取所有新的規則，然而使用 firewalld 卻不會再創建任何新的規則；僅僅運行規則中的不同之處。因此，firewalld 可以在運行時間內，改變設置而不丟失現行連接 ### [如何使用firewall防火墻以及如何關閉firewall并開啟iptables防火墻](https://www.cnblogs.com/crowsong/p/9394673.html) ## **iptables** iptables位于iptables文件中 ``` find / -name iptables ``` 即開放的端口位于/etc/sysconfig/iptables中查看時可通過 more /etc/sysconfig/iptables 命令查看如果想開放端口（如：8889） **（1）** 通過vi /etc/sysconfig/iptables 進入編輯增添一條`-A INPUT -p tcp -m tcp --dport 8889 -j ACCEPT` 即可 **（2）** 執行 /etc/init.d/iptables restart 命令將iptables服務重啟（service iptables restart） >[danger]ps:Linux 服務管理兩種方式service和systemctl **（3）** 保存 /etc/rc.d/init.d/iptables save 如若不想修改iptables表，可以直接輸入下面命令： ``` iptables -I INPUT -p tcp --dport 8889 -j ACCEPT ///sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT ``` 示例： **直接修改iptables文件** 添加端口80,8080,3306,3690端口 ~~~ -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 3690 -j ACCEPT ~~~ 請注意添加的位置，應在22端口的上面或者下面，但是不應在最底 ![](https://img.kancloud.cn/3f/ef/3fef34a60d0064199a10430c840a4440_607x271.png) 然后重啟 `service iptables restart`或者`systemctl enable iptables.service` ## **firewall** ### **linux的CentOS版本firewall開放指定端口命令** ~~~ 1、開啟防火墻? ? ? systemctl start firewalld 2、開放指定端口 ? ? ? firewall-cmd --zone=public --add-port=1935/tcp --permanent ?命令含義： --zone #作用域 --add-port=1935/tcp? #添加端口，格式為：端口/通訊協議 --permanent? #永久生效，沒有此參數重啟后失效 3、重啟防火墻 ? ? ? firewall-cmd --reload 4、查看端口號 netstat -ntlp? ?//查看當前所有tcp端口· netstat -ntulp |grep 1935? ?//查看所有1935端口使用情況· ~~~ ~~~ firewall-cmd --zone=public --add-port=3306/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=9501/tcp --permanent #批量開放或限制端口 firewall-cmd --zone=public --add-port=100-500/tcp --permanent 開放100～500端口 firewall-cmd --reload #或者 systemctl restart firewalld.service 重新載入一下防火墻設置，使設置生效（更改之后必須進行此操作才能生效） firewall-cmd --query-port=3306/tcp # 檢查是否ok 提示yes則通過了防火墻 firewall-cmd --zone=public --list-ports #可查看當前系統打開的所有端口 #關掉指定端口訪問 firewall-cmd --zone=public --remove-port=22/tcp --permanent ~~~