centos6.5 防火墙开放80端口
iptables -I INPUT -p tcp –dport 80 -j ACCEPT //注意,dport前面是两个-,其中-I是指在防火墙INPUT表最前面插入该条规则-p 用来指定协议的 –dport指定端口
那么我们再看看怎么关闭80端口
iptables -I INPUT -p tcp –dport 80 -j REJECT //很明显,就是把最后的ACCEPT改为REJECT
那么问题来了,重启后,该条规则会在重启后失效,所以我们需要保存对防火墙规则的修改
service iptables save (还没试过行不行)
Centos7 用firewalld代替iptables了,所以在Centos7下,也可以这么写命令
开放80端口
firewall-cmd –permanent –add-port=80/tcp #执行之后会提示success
firewall-cmd --reload #执行这条语句后才能生效
或者
firewalld-cmd --permanent --add-service=httpd
取消80端口对外开放
firewall-cmd –permanent –remove-port=80/tcp
firewalld-cmd --permanent --remove-service=httpd
再来个有趣点的,我们只将80端口对外开放一分钟
firewalld-cmd --permanent --add-service=httpd --timeout=1m
现在我们试着把1566端口的请求转移到80端口
firewall-cmd --add-forward-port=port=1566:proto=tcp:toport=80
让我们更近一步,把端口请求转发到另一个主机上
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=80:toaddr=10.0.3.92
如果没有意外的话,再次访问本地主机网页,发现并没有跳转到10.0.3.92去
这是因为我没哟没有开启防火墙的伪装功能,执行以下语句开启该功能就可以了
firewall-cmd --add-masquerade
这个功能怎么看开没开启呢(很明显,下面这个就没有)
firewall-cmd --zone=public --list-all
public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http ssh ports: protocols: masquerade: no forward-ports: port=1566:proto=tcp:toport=80:toaddr= port=80:proto=tcp:toport=80:toaddr=10.0.3.92 sourceports: icmp-blocks: rich rules:
为什么上面加了一个--zone=public呢,这个值可以通过firewall-cmd --get-active-zone 查看
再来一个给力的,拒绝所有包有时候被DDoS攻击了之类的,就可以执行这条语句了。执行之后,ssh以及http等服务均无法从外部连接
firewall-cmd --panic-on
下面这条语句用于恢复正常
firewall-cmd --panic-off
看一下,防火墙目前允许那些服务通过
firewall-cmd --zone=public --list-services
看一下某个区域里面是否有某个接口
firewall-cmd --zone=public --query-interface=eth0
有没有注意到query这个词,于是我试了一下。还真的能查询
[root@localhost ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@localhost ~]#
有时候我们直接firewall-cmd --add-port=80/tcp,忘记加--permanent,但是实际上我们希望这条规则永久生效,应该如何呢
firewall-cmd --runtime-to-permanent