0X00 firewalld 守护进程

firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。

当我们修改了某些配置之后(尤其是配置文件的修改),firewall 并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalldfirewall-cmd --reload两种方式,前一种是重启 firewalld 服务,建议使用后一种 “重载配置文件”。重载配置文件之后不会断掉正在连接的 tcp 会话,而重启服务则会断开 tcp 会话。

0X01 控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。



  1. firewall-cmd --add-service=mysql # 开放mysql端口
    2. 

  2. firewall-cmd --remove-service=http # 阻止http端口
    3. 

  3. firewall-cmd --list-services # 查看开放的服务
    4. 

    5. 

  5. firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
    6. 

  6. firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
    7. 

  7. firewall-cmd --add-port=233/udp # 开放通过udp访问233
    8. 

  8. firewall-cmd --list-ports # 查看开放的端口


0X02 伪装 IP


防火墙可以实现伪装 IP 的功能,下面的端口转发就会用到这个功能。




  1. firewall-cmd --query-masquerade # 检查是否允许伪装IP
    2. 

  2. firewall-cmd --add-masquerade # 允许防火墙伪装IP
    3. 

  3. firewall-cmd --remove-masquerade# 禁止防火墙伪装IP


0X03 端口转发


端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:


  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
    2. 

  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP




  1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
    2. 

  2. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
    3. 

  3. firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口


  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
    2. 

  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
												


											
CentOS7 中使用 firewall-cmd 控制端口和端口转发的更多相关文章
	

    
						
  1. CentOS7中关闭firewall,并使用iptables管理防火墙
		
    背景描述 在使用Docker时,启用centos7默认的firewall,启动端口映射时,防火墙规则不生效.docker默认使用了iptables防火墙机制.所以需要关闭firewall使用iptab ...
    
		
    2. 
								
  2. CentOS7下用firewall-cmd控制端口与端口转发
		
    1.firewalld 守护进程 2.控制端口/服务 3.伪装IP 4.端口转发 实现目标:服务器A和服务器B都是内网互通的,但是只有服务器A是有外网然后现在做端口转发实现服务器B能使用服务器A的外网 ...
    
		
    3. 
						
  3. CentOS7中firewalld的安装与使用详解
		
    一.软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二.安装firewall ...
    
		
    4. 
						
  4. CentOS7 防火墙(firewall)的操作命令
		
    CentOS7 防火墙(firewall)的操作命令 安装:yum install firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查 ...
    
		
    5. 
						
  5. CentOS中防火墙相关的命令(CentOS7中演示)
		
    CentOS中防火墙程序主要是firewall和iptables,CentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-se ...
    
		
    6. 
						
  6. 【原创】主机不能访问虚拟机CentOS7中的站点
		
    主机不能访问虚拟机CentOS7中的站点 ================================ 虚拟机上装好了centos7,并配好了nginx+php+mysql,但是本机就是无法访问. ...
    
		
    7. 
						
  7. 在centos7中限制kvm虚拟机可访问的资源
		
    最近通过艰苦卓绝的度娘(我很想用谷歌,可是,你懂的),终于搞明白如何在centos7中限制kvm虚拟机可访问的资源了.度娘给出的结果中,大部分都说的很对,然而,却很难照着做,主要原因有两点:1.网上的 ...
    
		
    8. 
						
  8. Centos7中hadoop配置
		
    Centos7中hadoop配置 1.下载centos7安装教程: http://jingyan.baidu.com/article/a3aad71aa180e7b1fa009676.html (注意 ...
    
		
    9. 
						
  9. centos7中安装、配置、验证、卸载redis
		
    本文介绍在centos7中安装.配置.验证.卸载redis等操作,以及在使用redis中的一些注意事项. 一 安装redis 1 创建redis的安装目录 利用以下命令,切换到/usr/local路径 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. LCS最大公共子序列【转载】
			
    在两个字符串中,有些字符会一样,可以形成的子序列也有可能相等,因此,长度最长的相等子序列便是两者间的最长公共字序列,其长度可以使用动态规划来求. 以s1={1,3,4,5,6,7,7,8},s2={3 ...
    
			
    2. 
						
  2. 笔记-JavaWeb学习之旅16
			
    增强对象的功能 动态代理:在内存中形成代理类 实现步骤: 代理对象和真实对象实现相同的接口 代理对象 = Proxy.newProxyInstance(); 使用代理对象调用真实对象的方法 增强方法  ...
    
			
    3. 
						
  3. ignoring option MaxPermSize=256m; support was removed in 8.0 - unsupported JVM property
			
    MaxPermSize 在JVM8 中已经被删除. 可以使用 JAVA_OPTS="-Xms1303m -Xmx1303m -XX:MaxPermSize=256m 参考 https://b ...
    
			
    4. 
						
  4. HTML5----前段各种常见BUG
			
     1.在IE6下,DIV中的字会多出,并且自成一行,而且是原来的字. 这是注释bug,经典的ie6 bug.    说明:注释造成文字溢出是IE6的BUG,注释造成文字溢出与其位置有关,注释造成文字溢 ...
    
			
    5. 
						
  5. [Android]Android开发艺术探索第13章笔记
			
    13.1 使用CrashHandler来获取应用的Crash信息 (1)应用发生Crash在所难免,但是如何采集crash信息以供后续开发处理这类问题呢? 利用Thread类的setDefaultUn ...
    
			
    6. 
						
  6. Luogu P1155 双栈排序 图论?模拟吧。。
			
    今天想做做图论,于是点开了这道题....(是二分图染色然而我没看出来) 四种操作及条件: 1. s1.push() 需满足 待push的元素小于栈顶 && { 若在原序列中,待push ...
    
			
    7. 
						
  7. POJ-2186-Popular Cows(强连通分量,缩点)
			
    链接:https://vjudge.net/problem/POJ-2186 题意: 有N(N<=10000)头牛,每头牛都想成为most poluler的牛,给出M(M<=50000)个 ...
    
			
    8. 
						
  8. net Core 入门实战
			
    Asp.net Core 入门实战   Asp.Net Core 是开源,跨平台,模块化,快速而简单的Web框架. Asp.net Core官网的一个源码合集,方便一次性Clone 目录 快速入门 安 ...
    
			
    9. 
						
  9. windows  用VMware创建linux虚拟机,安装操作系统CentOS7.2
			
    1.按照向导创建虚拟机 以下是安装虚拟机的步骤,没有写的直接下一步 [1]主页-创建新虚拟机 [2]选择 自定义(高级) [3]选择稍后安装操作系统 [4]给虚拟机命名并指定所在位置 [5]给处理器配 ...
    
			
    10. 
						
  10. Android方法数methods超过65536
			
    当Android App中的方法数超过65535时,如果往下兼容到低版本设备时,就会报编译错误: Cannot fit requested classes in a single dex file.  ...
    
			
    11.