日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在計(jì)算機(jī)網(wǎng)絡(luò)中，端口轉(zhuǎn)發(fā)是一項(xiàng)非常有用的功能。它允許用戶通過(guò)公共網(wǎng)絡(luò)連接到私有網(wǎng)絡(luò)中的主機(jī)或服務(wù)。然而，這種功能也存在著潛在的風(fēng)險(xiǎn)，因?yàn)樗鼤?huì)將私有網(wǎng)絡(luò)暴露在公共網(wǎng)絡(luò)中。因此，在不需要端口轉(zhuǎn)發(fā)時(shí)，將其刪除是保持網(wǎng)絡(luò)連接穩(wěn)定和安全的重要步驟。

成都創(chuàng)新互聯(lián)公司專注于甘南企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè),商城系統(tǒng)網(wǎng)站開發(fā)。甘南網(wǎng)站建設(shè)公司,為甘南等地區(qū)提供建站服務(wù)。全流程按需網(wǎng)站策劃，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

本文將介紹如何在Linux系統(tǒng)中刪除端口轉(zhuǎn)發(fā)，以確保網(wǎng)絡(luò)連接更加穩(wěn)定和安全。

Step 1：確認(rèn)當(dāng)前的端口轉(zhuǎn)發(fā)規(guī)則

在刪除端口轉(zhuǎn)發(fā)之前，我們需要確認(rèn)當(dāng)前的端口轉(zhuǎn)發(fā)規(guī)則。您可以使用以下命令檢查當(dāng)前的規(guī)則：

“`

sudo iptables -L -t nat

“`

該命令將列出所有的端口轉(zhuǎn)發(fā)規(guī)則。如果您確認(rèn)要?jiǎng)h除某個(gè)規(guī)則，請(qǐng)?zhí)恋谌健?/p>

Step 2：先暫時(shí)關(guān)閉端口轉(zhuǎn)發(fā)

如果您不確定是否需要?jiǎng)h除某個(gè)端口轉(zhuǎn)發(fā)規(guī)則，建議先暫時(shí)關(guān)閉該規(guī)則，以確保網(wǎng)絡(luò)連接的穩(wěn)定性和安全性。

以下是關(guān)閉所有端口轉(zhuǎn)發(fā)的命令：

“`

sudo sh -c “echo 0 > /proc/sys/net/ipv4/ip_forward”

“`

該命令將禁用所有的端口轉(zhuǎn)發(fā)，確保網(wǎng)絡(luò)連接更加穩(wěn)定和安全。您可以在網(wǎng)絡(luò)連接出現(xiàn)問(wèn)題時(shí)再重新啟用它。

Step 3：刪除單個(gè)端口轉(zhuǎn)發(fā)規(guī)則

如果您確定要?jiǎng)h除某個(gè)端口轉(zhuǎn)發(fā)規(guī)則，可以使用以下命令刪除它：

“`

sudo iptables -t nat -D PREROUTING [規(guī)則號(hào)]

“`

其中，規(guī)則號(hào)可以從“sudo iptables -L -t nat”命令的輸出中找到。

該命令將從當(dāng)前的端口轉(zhuǎn)發(fā)規(guī)則中刪除指定的規(guī)則。確認(rèn)該規(guī)則已從列表中刪除后，您可以重新啟用所有其它規(guī)則。

Step 4：重新啟用端口轉(zhuǎn)發(fā)

要重新啟用所有端口轉(zhuǎn)發(fā)規(guī)則，使用以下命令：

“`

sudo sh -c “echo 1 > /proc/sys/net/ipv4/ip_forward”

“`

該命令將重新啟用所有端口轉(zhuǎn)發(fā)規(guī)則。

結(jié)論

刪除端口轉(zhuǎn)發(fā)規(guī)則是保持網(wǎng)絡(luò)連接穩(wěn)定和安全的重要步驟。在執(zhí)行該操作之前，請(qǐng)先確認(rèn)當(dāng)前的規(guī)則并暫時(shí)關(guān)閉所有規(guī)則。如果需要?jiǎng)h除某個(gè)規(guī)則，請(qǐng)使用“sudo iptables -t nat -D PREROUTING [規(guī)則號(hào)]”命令。執(zhí)行該操作后，請(qǐng)確保重新啟用所有其它規(guī)則，以保持網(wǎng)絡(luò)連接的正常運(yùn)行。

成都網(wǎng)站建設(shè)公司-創(chuàng)新互聯(lián),建站經(jīng)驗(yàn)豐富以策略為先導(dǎo)10多年以來(lái)專注數(shù)字化網(wǎng)站建設(shè),提供企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計(jì),響應(yīng)式網(wǎng)站制作,設(shè)計(jì)師量身打造品牌風(fēng)格,熱線:028-86922220

linux中如何控制端口流量

配置網(wǎng)卡

建立一臺(tái)虛擬機(jī)，并安裝完成后以橋接的方式在虛擬機(jī)上面添加兩張網(wǎng)卡。分別為eth0和eth1。

eth0: a.b.c.d(外網(wǎng)的上網(wǎng)地址)

eth1: 172.16.44.1(做為內(nèi)網(wǎng)的網(wǎng)關(guān))

Tip

原先我使用eth0:0的這種虛擬網(wǎng)卡的形式去配置一直不成功，后來(lái)使用雙網(wǎng)卡的時(shí)候一直忘了把eth0:0這張?zhí)摂M網(wǎng)卡刪掉導(dǎo)致了限速配置一直不成功，浪費(fèi)了大輪頌把的青蔥。

配置iptables nat

#開啟ip_forward

echo “1”>/proc/sys/net/ipv4/ip_forward

#清除原來(lái)的防火墻規(guī)則

iptables -F

iptables -t nat -F

iptables -t mangle -F

#添加nat轉(zhuǎn)發(fā)

iptables -t nat -A POSTROUTING -s 172.16.44.0/24 -o eth0 -j MASQUERADE

通臘洞鄭過(guò)執(zhí)行上面的代碼后，局域網(wǎng)內(nèi)的電腦就可以上網(wǎng)了。

端口轉(zhuǎn)發(fā)

由于我的內(nèi)網(wǎng)還掛了網(wǎng)站，所以要開啟80端口的轉(zhuǎn)顫孝發(fā)。

iptables -t nat -I PREROUTING -p tcp -d a.b.c.d –dport 80 -j DNAT –to 172.16.44.210:80

iptables -t nat -I POSTROUTING -p tcp -d 172.16.44.210 –dport 80 -j SNAT –to 172.16.44.1

這條命令指定外網(wǎng)地址a.b.c.d的80端口轉(zhuǎn)發(fā)到172.16.44.210:80上。由于是雙網(wǎng)卡，所以需要做一下回路。

下載限速

下載限速要在eth1上面做，判斷數(shù)據(jù)包的目的地址來(lái)做限制。tc包括三部分：隊(duì)列、類、過(guò)濾器。我使用了htb方式去限制速度，也可以使用cbq，但cbq配置比較復(fù)雜一點(diǎn)，而且據(jù)說(shuō)性能沒(méi)htb好。

#刪除原來(lái)的tc規(guī)則隊(duì)列

tc qdisc del dev eth1 root

#添加tc規(guī)則隊(duì)列

tc qdisc add dev eth1 root handle 10: htb default 256

#生成根類

tc class add dev eth1 parent 10: classid 10:1 htb rate 100mbit ceil 100mbit

#支類列表用于限制速度

#這里的rate指的是保證帶寬,ceil是更大帶寬。

tc class add dev eth1 parent 10:1 classid 10:10 htb rate 400kbps ceil 400kbps prio 1

#添加支類規(guī)則隊(duì)列

#采用sfq偽隨機(jī)隊(duì)列，并且10秒重置一次散列函數(shù)。

tc qdisc add dev eth1 parent 10:10 handle 101: sfq perturb 10

#建立網(wǎng)絡(luò)包過(guò)濾器，設(shè)置fw。

tc filter add dev eth1 parent 10: protocol ip prio 10 handle 1 fw classid 10:10

#在iptables里面設(shè)定mark值，與上面的handle值對(duì)應(yīng)。

iptables -t mangle -A POSTROUTING -d 172.16.44.130 -j MARK –set-mark 1

通過(guò)上面的代碼就可以限制172.16.44.130這臺(tái)機(jī)子的到400kbps。

Tip

經(jīng)過(guò)實(shí)際測(cè)試這里的kbps實(shí)際上就是KB/S每秒千字節(jié)。另一個(gè)單位是kbit，這個(gè)才是每秒千比特。這里的172.16.44.130也可以寫成一個(gè)網(wǎng)段，比如：172.16.44.0/24

上傳限速

上傳限速的原理其實(shí)跟下載的差不多，只不過(guò)限制的網(wǎng)卡不同，要在eth0上過(guò)濾來(lái)源地址去限制。

#刪除原來(lái)的tc規(guī)則隊(duì)列

tc qdisc del dev eth0 root

#添加tc規(guī)則隊(duì)列

tc qdisc add dev eth0 root handle 20: htb default 256

#生成根類

tc class add dev eth0 parent 20: classid 20:1 htb rate 100mbit ceil 100mbit

#支類列表用于限制速度

tc class add dev eth0 parent 20:1 classid 20:10 htb rate 40kbps ceil 40kbps prio 1

#添加支類規(guī)則隊(duì)列

tc qdisc add dev eth0 parent 20:10 handle 201: sfq perturb 10

#建立網(wǎng)絡(luò)包過(guò)濾器

tc filter add dev eth0 parent 20: protocol ip prio 100 handle 2 fw classid 20:10

iptables -t mangle -A PREROUTING -s 172.16.44.130 -j MARK –set-mark 2

Tip

跟下載不同的是POSTROUTING要改成PREROUTING，-d改成-s。

觀察連接數(shù)

通過(guò)iptables的nat連接可以通過(guò)下面的代碼查看。至于統(tǒng)計(jì)連接數(shù)可以寫代碼實(shí)現(xiàn)，也可以利用awk,grep等工具。反正里面的內(nèi)容就是文本，處理起來(lái)也比較簡(jiǎn)單。

cat /proc/net/ip_conntrack

寫在結(jié)尾

到此上網(wǎng)、端口轉(zhuǎn)發(fā)和流量限制都已經(jīng)實(shí)現(xiàn)。下次再考慮配置個(gè)dhcp server和dnasq。至于一些路由器其它諸如mac地址綁定，限制上網(wǎng)等用到的時(shí)候再去研究研究。

Linux命令

快照功能：記錄當(dāng)前的硬盤的狀態(tài)。剛建快照時(shí)快照占用內(nèi)存為0，標(biāo)記了當(dāng)前硬盤的存儲(chǔ)狀態(tài)。當(dāng)虛擬機(jī)對(duì)快照標(biāo)記的內(nèi)容改寫時(shí)，會(huì)將改寫的內(nèi)容存儲(chǔ)進(jìn)快照，與未改寫的部分整合得到完整的快照。當(dāng)快照標(biāo)記的部分被完全改寫，那么快照存儲(chǔ)空間完整記錄了當(dāng)時(shí)拍攝時(shí)的內(nèi)存狀態(tài)。

參數(shù)形式

之一種：參數(shù)用一橫的說(shuō)明后面的參數(shù)是字符形式。

第二種：參數(shù)用兩橫的說(shuō)明后面的參數(shù)是單詞形式。

第三種：參數(shù)前有橫的老鏈頃是 System V風(fēng)格。

第四種：參數(shù)前沒(méi)有橫的是 BSD風(fēng)格。

cat、more、less、head、tail命令的比較：

cat命令可以一次顯示整個(gè)文件，如果文件比較大，使用不是很方便；

more命令可以讓屏幕在顯示滿一屏幕時(shí)暫停，按空格往前翻頁(yè)，按b往后翻頁(yè)。

less命令也可以分頁(yè)顯示文件，和more命令的區(qū)別就在于： 支持上下鍵卷動(dòng)屏幕、查找；不需要在一開始就讀取整個(gè)文件，打開大文件時(shí)比more、vim更快。

head命令用于查看文件的前n行。

tail命令用于查看文件的后n行，加上-f命令，查看在線日志非常方便，可以打印最新增加的日志。

一般模式：

編輯模式：

命令模式：

編碼

多行操作(列編輯模式)

插入：ctrl+v進(jìn)入列編輯模式，上下移動(dòng)光標(biāo)選擇需要插入的位置，然后輸入大寫I，輸入需要文本，最后按esc鍵退出，就會(huì)發(fā)現(xiàn)文本會(huì)在選擇的多行中插入。

刪除：ctrl+v進(jìn)入列編輯模式，上下移動(dòng)光標(biāo)選中需要?jiǎng)h除的部分，然后按d，就會(huì)刪除選中的內(nèi)容。

①head：顯示文件頭部?jī)?nèi)容

②tail：輸出文件尾部?jī)?nèi)容

注意：用vim和vi修改內(nèi)容會(huì)刪除源文件并生成新文件，所以tail -f會(huì)失效。需要用到

追加和覆蓋語(yǔ)句（>或>>），才能被tail -f監(jiān)視到。

一般用于查看小文件

查看壓縮文件中的文本內(nèi)容

例：

①more：文件內(nèi)容分屏查看器

②less：分屏顯示文件內(nèi)容，效率比more高

1、簡(jiǎn)單讀取

運(yùn)行腳本如下

測(cè)試結(jié)果為：

2、-p 參數(shù)，允許在 read 命令行中直接指定一個(gè)提示。

運(yùn)行腳本如下

測(cè)試結(jié)果為：

echo （輸出內(nèi)容到控制臺(tái)）

輸出給定文本的sha256加密后的內(nèi)容

①顯示當(dāng)前時(shí)間信息

②顯示當(dāng)前時(shí)間年月日

③顯示當(dāng)侍陸前時(shí)間年月日時(shí)分秒

④顯示昨天

⑤顯示明天時(shí)間

⑥顯示上個(gè)月時(shí)間

需要注意的是取下個(gè)月的命令存在bug，執(zhí)行如下命令會(huì)得到21-10，但是正常應(yīng)該得到21-09，需要注意

date -d “+1 month” +%y-%m

⑦修改系統(tǒng)時(shí)間

⑧獲取當(dāng)前時(shí)間戳

獲取秒時(shí)間戳： date +%s

獲喚襪取毫秒時(shí)間戳：$

查看日歷

（1）查看當(dāng)前月的日歷

（2）查看2023年的日歷

例：

對(duì)比gzip/gunzip，zip/unzip可以壓縮文件和目錄且保留源文件。

①zip：壓縮

②unzip：解壓縮

只能壓縮文件不能壓縮目錄，不保留原來(lái)的文件。

gzip 文件 （只能將文件壓縮為*.gz文件）

gunzip 文件.gz （解壓縮文件命令）

例： crontab -e

（1）進(jìn)入crontab編輯界面。會(huì)打開vim編輯你的工作。

（2）每隔1分鐘，向/root/bailongma.txt文件中添加一個(gè)11的數(shù)字

*/1 * * * * /bin/echo ”11” >> /root/bailongma.txt

（3）可以用tail -f 目標(biāo)文件來(lái)實(shí)施監(jiān)控追加的內(nèi)容

查看日志

可以用tail -f /var/log/cron.log觀察

Cron表達(dá)式見文章：

ls

cd

例：

cd -P $(dirname $p1) ； pwd 先跳轉(zhuǎn)到文件的所在目錄，再打印$p1文件的實(shí)際路徑

概述

①cp（copy）：只能在本機(jī)中復(fù)制

②scp（secure copy）：可以復(fù)制文件給遠(yuǎn)程主機(jī)

scp -r test.sh hxr@hadoop102:/root

③rsync（remote sync）：功能與scp相同，但是不會(huì)改文件屬性

rsync -av test.sh test.sh hxr@hadoop102:/root

④nc（netcat）：監(jiān)聽端口，可以實(shí)現(xiàn)機(jī)器之間傳輸文件。

nc -lk 7777 (-l表示listen，-k表示keep)

強(qiáng)制覆蓋不提示的方法：\cp

例：scp -r test.sh hxr@bigdata1:/root

例：rsync -av test.sh hxr@bigdata1:/root

例：

nc -lp> nc_test.txt

nc -w 1 hadoop102 shutdown > reboot > halt

（1）sync（功能描述：將數(shù)據(jù)由內(nèi)存同步到硬盤中）

（2）halt（功能描述：關(guān)閉系統(tǒng)，等同于shutdown -h now 和 poweroff）

（3）reboot（功能描述：就是重啟，等同于 shutdown -r now）

（4）shutdown

安裝

yum install -y telnet-server telnet

ls -i 顯示文件的節(jié)點(diǎn)號(hào)

find -inum 節(jié)點(diǎn)號(hào) -delete 刪除指定的節(jié)點(diǎn)即可刪除對(duì)應(yīng)的文件

啟動(dòng)一個(gè)服務(wù)： systemctl start postfix.service

關(guān)閉一個(gè)服務(wù)： systemctl stop postfix.service

重啟一個(gè)服務(wù)： systemctl restart postfix.service

顯示一個(gè)服務(wù)的狀態(tài)： systemctl status postfix.service

在開機(jī)時(shí)啟用一個(gè)服務(wù)： systemctl enable postfix.service

在開機(jī)時(shí)禁用一個(gè)服務(wù)： systemctl disable postfix.service

注：在enable的時(shí)候會(huì)打印出來(lái)該啟動(dòng)文件的位置

列出所有已經(jīng)安裝的服務(wù)及狀態(tài)：

systemctl list-units

systemctl list-unit-files

查看服務(wù)列表狀態(tài):

systemctl list-units –type=service

查看服務(wù)是否開機(jī)啟動(dòng)： systemctl is-enabled postfix.service

查看已啟動(dòng)的服務(wù)列表： systemctl list-unit-files | grep enabled

查看啟動(dòng)失敗的服務(wù)列表： systemctl –failed

查看服務(wù)日志： journalctl -u postfix -n 10 -f

命令類似systemctl，用于操作native service。

添加腳本為服務(wù)(需要指定啟動(dòng)級(jí)別和優(yōu)先級(jí))： chkconfig –add

刪除服務(wù)： chkconfig –del

單獨(dú)查看某一服務(wù)是否開機(jī)啟動(dòng)的命令 ： chkconfig –list

單獨(dú)開啟某一服務(wù)的命令 ： chkconfig on

單獨(dú)關(guān)閉某一服務(wù)的命令： chkconfig off

查看某一服務(wù)的狀態(tài)： /etc/intd.d/ status

啟用服務(wù)就是在當(dāng)前”runlevel”的配置文件目錄 /etc/systemd/system/multi-user.target.wants 里，建立 /usr/lib/systemd/system 里面對(duì)應(yīng)服務(wù)配置文件的軟鏈接；禁用服務(wù)就是刪除此軟鏈接，添加服務(wù)就是添加軟連接。

su 用戶名稱 （切換用戶，只能獲得用戶的執(zhí)行權(quán)限，不能獲得環(huán)境變量）

su – 用戶名稱（切換到用戶并獲得該用戶的環(huán)境變量及執(zhí)行權(quán)限）

echo $PATH 打印環(huán)境變量

設(shè)置普通用戶具有root權(quán)限

修改 /etc/sudoers 文件，找到下面一行(91行)，在root下面添加一行，如下 所示：

或者配置成采用sudo命令時(shí)，不需要輸入密碼

修改完畢，現(xiàn)在可以用hxr 帳號(hào)登錄，然后用命令 sudo ，即可獲得root權(quán)限進(jìn)行操作。

以azkaban用戶執(zhí)行引號(hào)中的命令

gpasswd -d 將用戶從組中刪除

gpasswd -a 將用戶加入到組中

用戶組的管理涉及用戶組的添加、刪除和修改。組的增加、刪除和修改實(shí)際上就是對(duì) /etc/group文件的更新。

0首位表示類型 – 代表文件 d 代表目錄 l 鏈接文檔(link file)

三種特殊權(quán)限suid、sgid、sticky

例子:

變更文件權(quán)限方式一

例：chmod u-x,o+x houge.txt

變更文件權(quán)限方式二

例：chmod -R/mnt/ 修改整個(gè)文件夾的文件權(quán)限

在linux中創(chuàng)建文件或者目錄會(huì)有一個(gè)默認(rèn)權(quán)限的，這個(gè)默認(rèn)權(quán)限是由umask決定的（默認(rèn)為0022）。umask設(shè)置的是權(quán)限的“補(bǔ)碼”，而我們常用chmod設(shè)置的是文件權(quán)限碼。一般在/etc/profile 、~/.bashprofile 或者 ~/.profile中設(shè)置umask值。

umask計(jì)算

如root用戶的默認(rèn)umask為0022(之一個(gè)0 代表特殊權(quán)限位，這里先不考慮)，創(chuàng)建的文件默認(rèn)權(quán)限是644(即默認(rèn)666掩上umask的022)，創(chuàng)建的目錄是755(即默認(rèn)777掩上umask的022)。

對(duì)于root用戶的umask=022這個(gè)來(lái)說(shuō)，777權(quán)限二進(jìn)制碼就是（111）（111）（111），022權(quán)限二進(jìn)制碼為（000）（010）（010）。

上面就是一個(gè)umask的正常計(jì)算過(guò)程，但是這樣實(shí)在是太麻煩了。我們使用如下的簡(jiǎn)單的方法快速計(jì)算。

上面的這個(gè)方法計(jì)算是非常方便的， 為何得到奇數(shù)要+1呢？

文件的更大權(quán)限是666，都是偶數(shù)，你得到奇數(shù)，說(shuō)明你的umask有奇數(shù)啊，讀為4，寫為2，都是偶數(shù)，說(shuō)明你有執(zhí)行權(quán)限的。

就按照上面的umask=023為例，在計(jì)算其他用戶權(quán)限的時(shí)候6-3=3 ，6是讀寫，3是寫和執(zhí)行，其實(shí)應(yīng)該是讀寫權(quán)限減去讀權(quán)限的得到寫權(quán)限的，相當(dāng)于我們多減去了一個(gè)執(zhí)行權(quán)限。所以結(jié)果加1。

umask修改

如果想單獨(dú)修改某個(gè)文件夾的新建文件的權(quán)限，可以使用setfacl命令。

例：遞歸改變文件所有者和所有組 chown -R hxr:hxr /mnt

Linux centos下ftp默認(rèn)端口修改后firewalld如何設(shè)置

centos 7中防火墻是一個(gè)非常的強(qiáng)大的功能了，但對(duì)于centos 7中在防火墻中進(jìn)行了升級(jí)了，下面我們一起來(lái)詳細(xì)的看看關(guān)于centos 7中防火墻使用方法。

FirewallD 提供了支持網(wǎng)絡(luò)/防火墻區(qū)域(zone)定義網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具。它支持 IPv4, IPv6 防火墻設(shè)置以及以太網(wǎng)橋接，并且擁有運(yùn)行時(shí)配置和永久配置選項(xiàng)。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。 以前的 system-config-firewall/lokkit 防火墻模型是靜態(tài)的，每次修改都要求防火墻完全重啟。這個(gè)過(guò)程包括內(nèi)核 netfilter 防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會(huì)破壞狀態(tài)防火墻和確立的連接。

相反，firewall daemon 動(dòng)態(tài)管理防火墻，不需要重啟整個(gè)防火墻便可應(yīng)用更改。因而也就沒(méi)有必要重載所有內(nèi)核防火墻模塊了。不過(guò)，要使用 firewall daemon 就要求防火墻的所有變更都要通過(guò)該守護(hù)進(jìn)程來(lái)實(shí)散纖現(xiàn)，以確保守護(hù)進(jìn)程中的狀態(tài)和內(nèi)核里的防火墻是一致的。另外，firewall daemon 無(wú)法解析由 ip*tables 和 ebtables 命令行工具添加的防火墻規(guī)則兆穗。

守護(hù)進(jìn)程通過(guò) D-BUS 提供當(dāng)前激活的防火墻設(shè)置信息，也通過(guò) D-BUS 接受使用 PolicyKit 認(rèn)證方式做的更改。

“守護(hù)進(jìn)程”

應(yīng)用程序、守護(hù)進(jìn)程和用戶可以通過(guò) D-BUS 請(qǐng)求啟用一個(gè)防火墻特性。特性可以是預(yù)定義的防火墻功能，如：服務(wù)、端口和協(xié)議的組合、端口/數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)、偽裝、ICMP 攔截或自定義規(guī)則等。該功能可以啟用確定的一段時(shí)間也可以再次停用。

通過(guò)所謂的直接接口，其他的服務(wù)(例如 libvirt )能夠通過(guò) iptables 變?cè)?arguments)和參數(shù)(parameters)增加自己的規(guī)則。

amanda 、ftp 、samba 和 tftp 服務(wù)的 netfilter 防火墻助手也被“守護(hù)進(jìn)程”解決了,只要它們還作為預(yù)定義服務(wù)的一部分。附加助手的裝載不作為當(dāng)前接口的一部分。由于一些助手只有在由模塊控制的所有連接都關(guān)閉后才可裝載。因而，跟蹤連接信息很重要，需要列入考慮范圍。

靜態(tài)防火墻(system-config-firewall/lokkit)

使用 system-config-firewall 和 lokkit 的靜態(tài)防火墻模型實(shí)際上仍然可用并將繼續(xù)提供，但卻不能與“守護(hù)進(jìn)程”同時(shí)使用。用戶或者管理員可以決定使用哪一種方案。

在軟件安裝，初次啟動(dòng)或者是首次聯(lián)網(wǎng)時(shí)，將會(huì)出現(xiàn)一個(gè)選擇器。通過(guò)它你可以選擇要使用的防火墻方案。其他的解決方案將保持完整，可以通過(guò)更換模式啟用。

firewall daemon 獨(dú)立于 system-config-firewall，但二者不能同時(shí)使用。

使用iptables和ip6tables的靜態(tài)防火墻規(guī)則

如果你想使用自己的 iptables 和 ip6tables 靜態(tài)防火墻規(guī)則, 那么請(qǐng)安裝 iptables-services 并且禁用 firewalld ，啟用 iptables 和ip6tables:

yum install iptables-services

systemctl mask firewalld.service

systemctl enable iptables.service

systemctl enable ip6tables.service

靜態(tài)防火墻規(guī)則配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .

注： iptables 與 iptables-services 軟件包不提供與服務(wù)配套使用的防火墻規(guī)則. 這些服務(wù)是用來(lái)保障兼容性以及供想使用自己防火墻規(guī)則的人使用的. 你可以安裝并使用 system-config-firewall 來(lái)創(chuàng)建上述服務(wù)需要的規(guī)則. 為了能使用 system-config-firewall, 你必須停止 firewalld.

為服務(wù)創(chuàng)建規(guī)則并停用 firewalld 后，就可以沖猜仿啟用 iptables 與 ip6tables 服務(wù)了:

systemctl stop firewalld.service

systemctl start iptables.service

systemctl start ip6tables.service

什么是區(qū)域？

網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí)。這是一個(gè)一對(duì)多的關(guān)系，這意味著一次連接可以僅僅是一個(gè)區(qū)域的一部分，而一個(gè)區(qū)域可以用于很多連接。

預(yù)定義的服務(wù)

服務(wù)是端口和/或協(xié)議入口的組合。備選內(nèi)容包括 netfilter 助手模塊以及 IPv4、IPv6地址。

端口和協(xié)議

定義了 tcp 或 udp 端口，端口可以是一個(gè)端口或者端口范圍。

ICMP阻塞

可以選擇 Internet 控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)。

偽裝

私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。

端口轉(zhuǎn)發(fā)

端口可以映射到另一個(gè)端口以及/或者其他主機(jī)。

哪個(gè)區(qū)域可用?

由firewalld 提供的區(qū)域按照從不信任到信任的順序排序。

丟棄

任何流入網(wǎng)絡(luò)的包都被丟棄，不作出任何響應(yīng)。只允許流出的網(wǎng)絡(luò)連接。

阻塞

任何進(jìn)入的網(wǎng)絡(luò)連接都被拒絕，并返回 IPv4 的 icmp-host-prohibited 報(bào)文或者 IPv6 的 icmp6-adm-prohibited 報(bào)文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。

公開

用以可以公開的部分。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。（You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.）

外部

用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。

隔離區(qū)（dmz）

用以允許隔離區(qū)（dmz）中的電腦有限地被外界網(wǎng)絡(luò)訪問(wèn)。只接受被選中的連接。

工作

用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。

家庭

用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。

內(nèi)部

用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。

受信任的

允許所有網(wǎng)絡(luò)連接。

我應(yīng)該選用哪個(gè)區(qū)域?

例如，公共的 WIFI 連接應(yīng)該主要為不受信任的，家庭的有線網(wǎng)絡(luò)應(yīng)該是相當(dāng)可信任的。根據(jù)與你使用的網(wǎng)絡(luò)更符合的區(qū)域進(jìn)行選擇。

如何配置或者增加區(qū)域?

你可以使用任何一種 firewalld 配置工具來(lái)配置或者增加區(qū)域，以及修改配置。工具有例如 firewall-config 這樣的圖形界面工具， firewall-cmd 這樣的命令行工具，以及D-BUS接口?；蛘吣阋部梢栽谂渲梦募夸浿袆?chuàng)建或者拷貝區(qū)域文件。 @PREFIX@/lib/firewalld/zones 被用于默認(rèn)和備用配置，/etc/firewalld/zones 被用于用戶創(chuàng)建和自定義配置文件。

如何為網(wǎng)絡(luò)連接設(shè)置或者修改區(qū)域

區(qū)域設(shè)置以 ZONE= 選項(xiàng) 存儲(chǔ)在網(wǎng)絡(luò)連接的ifcfg文件中。如果這個(gè)選項(xiàng)缺失或者為空，firewalld 將使用配置的默認(rèn)區(qū)域。

如果這個(gè)連接受到 NetworkManager 控制，你也可以使用 nm-connection-editor 來(lái)修改區(qū)域。

由NetworkManager控制的網(wǎng)絡(luò)連接

防火墻不能夠通過(guò) NetworkManager 顯示的名稱來(lái)配置網(wǎng)絡(luò)連接，只能配置網(wǎng)絡(luò)接口。因此在網(wǎng)絡(luò)連接之前 NetworkManager 將配置文件所述連接對(duì)應(yīng)的網(wǎng)絡(luò)接口告訴 firewalld 。如果在配置文件中沒(méi)有配置區(qū)域，接口將配置到 firewalld 的默認(rèn)區(qū)域。如果網(wǎng)絡(luò)連接使用了不止一個(gè)接口，所有的接口都會(huì)應(yīng)用到 fiwewalld。接口名稱的改變也將由 NetworkManager 控制并應(yīng)用到firewalld。

為了簡(jiǎn)化，自此，網(wǎng)絡(luò)連接將被用作與區(qū)域的關(guān)系。

如果一個(gè)接口斷開了，NetworkManager也將告訴firewalld從區(qū)域中刪除該接口。

當(dāng)firewalld由systemd或者init腳本啟動(dòng)或者重啟后，firewalld將通知NetworkManager把網(wǎng)絡(luò)連接增加到區(qū)域。

由腳本控制的網(wǎng)絡(luò)

對(duì)于由網(wǎng)絡(luò)腳本控制的連接有一條限制：沒(méi)有守護(hù)進(jìn)程通知 firewalld 將連接增加到區(qū)域。這項(xiàng)工作僅在 ifcfg-post 腳本進(jìn)行。因此，此后對(duì)網(wǎng)絡(luò)連接的重命名將不能被應(yīng)用到firewalld。同樣，在連接活動(dòng)時(shí)重啟 firewalld 將導(dǎo)致與其失去關(guān)聯(lián)?，F(xiàn)在有意修復(fù)此情況。最簡(jiǎn)單的是將全部未配置連接加入默認(rèn)區(qū)域。

區(qū)域定義了本區(qū)域中防火墻的特性：

使用firewalld

你可以通過(guò)圖形界面工具 firewall-config 或者命令行客戶端 firewall-cmd 啟用或者關(guān)閉防火墻特性。

使用firewall-cmd

命令行工具 firewall-cmd 支持全部防火墻特性。對(duì)于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒(méi)有其他輸出。

一般應(yīng)用

獲取 firewalld 狀態(tài)

firewall-cmd –state

此舉返回 firewalld 的狀態(tài)，沒(méi)有任何輸出。可以使用以下方式獲得狀態(tài)輸出：

firewall-cmd –state && echo “Running” || echo “Not running”

在 Fedora 19 中, 狀態(tài)輸出比此前直觀:

# rpm -qf $( which firewall-cmd )

firewalld-0.3.3-2.fc19.noarch# firewall-cmd –state

not running

在不改變狀態(tài)的條件下重新加載防火墻：

firewall-cmd –reload

如果你使用–complete-reload，狀態(tài)信息將會(huì)丟失。這個(gè)選項(xiàng)應(yīng)當(dāng)僅用于處理防火墻問(wèn)題時(shí)，例如，狀態(tài)信息和防火墻規(guī)則都正常，但是不能建立任何連接的情況。

獲取支持的區(qū)域列表

firewall-cmd –get-zones

這條命令輸出用空格分隔的列表。

獲取所有支持的服務(wù)

firewall-cmd –get-services

這條命令輸出用空格分隔的列表。

獲取所有支持的ICMP類型

firewall-cmd –get-icmptypes

這條命令輸出用空格分隔的列表。

列出全部啟用的區(qū)域的特性

firewall-cmd –list-all-zones

輸出格式是：

interfaces: ..

services: ..

ports: ..

forward-ports: ..

icmp-blocks: ….

輸出區(qū)域 全部啟用的特性。如果生略區(qū)域，將顯示默認(rèn)區(qū)域的信息。

firewall-cmd –list-all

獲取默認(rèn)區(qū)域的網(wǎng)絡(luò)設(shè)置

firewall-cmd –get-default-zone

設(shè)置默認(rèn)區(qū)域

firewall-cmd –set-default-zone=

流入默認(rèn)區(qū)域中配置的接口的新訪問(wèn)請(qǐng)求將被置入新的默認(rèn)區(qū)域。當(dāng)前活動(dòng)的連接將不受影響。

獲取活動(dòng)的區(qū)域

firewall-cmd –get-active-zones

這條命令將用以下格式輸出每個(gè)區(qū)域所含接口：

: ..: ..

根據(jù)接口獲取區(qū)域

firewall-cmd –get-zone-of-interface=

這條命令將輸出接口所屬的區(qū)域名稱。

將接口增加到區(qū)域

firewall-cmd –add-interface=

如果接口不屬于區(qū)域，接口將被增加到區(qū)域。如果區(qū)域被省略了，將使用默認(rèn)區(qū)域。接口在重新加載后將重新應(yīng)用。

修改接口所屬區(qū)域

firewall-cmd –change-interface=

這個(gè)選項(xiàng)與 –add-interface 選項(xiàng)相似，但是當(dāng)接口已經(jīng)存在于另一個(gè)區(qū)域的時(shí)候，該接口將被添加到新的區(qū)域。

從區(qū)域中刪除一個(gè)接口

firewall-cmd –remove-interface=

查詢區(qū)域中是否包含某接口

firewall-cmd –query-interface=

返回接口是否存在于該區(qū)域。沒(méi)有輸出。

列舉區(qū)域中啟用的服務(wù)

firewall-cmd –list-services

啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接，以防出現(xiàn)緊急狀況

firewall-cmd –panic-on

禁用應(yīng)急模式

firewall-cmd –panic-off

代碼如下 復(fù)制代碼

應(yīng)急模式在 0.3.0 版本中發(fā)生了變化

在 0.3.0 之前的 FirewallD版本中, panic 選項(xiàng)是 –enable-panic 與 –disable-panic.

查詢應(yīng)急模式

firewall-cmd –query-panic

此命令返回應(yīng)急模式的狀態(tài)，沒(méi)有輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：

firewall-cmd –query-panic && echo “On” || echo “Off”

處理運(yùn)行時(shí)區(qū)域

運(yùn)行時(shí)模式下對(duì)區(qū)域進(jìn)行的修改不是永久有效的。重新加載或者重啟后修改將失效。

啟用區(qū)域中的一種服務(wù)

firewall-cmd –add-service=

此舉啟用區(qū)域中的一種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。如果設(shè)定了超時(shí)時(shí)間，服務(wù)將只啟用特定秒數(shù)。如果服務(wù)已經(jīng)活躍，將不會(huì)有任何警告信息。

例: 使區(qū)域中的ipp-client服務(wù)生效60秒:

firewall-cmd –zone=home –add-service=ipp-client –timeout=60

例: 啟用默認(rèn)區(qū)域中的http服務(wù):

firewall-cmd –add-service=http

禁用區(qū)域中的某種服務(wù)

firewall-cmd –remove-service=

此舉禁用區(qū)域中的某種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。

例: 禁止home區(qū)域中的http服務(wù):

firewall-cmd –zone=home –remove-service=http

區(qū)域種的服務(wù)將被禁用。如果服務(wù)沒(méi)有啟用，將不會(huì)有任何警告信息。

查詢區(qū)域中是否啟用了特定服務(wù)

firewall-cmd –query-service=

如果服務(wù)啟用，將返回1,否則返回0。沒(méi)有輸出信息。

啟用區(qū)域端口和協(xié)議組合

firewall-cmd –add-port=/

此舉將啟用端口和協(xié)議的組合。端口可以是一個(gè)單獨(dú)的端口 或者是一個(gè)端口范圍 – 。協(xié)議可以是 tcp 或 udp。

禁用端口和協(xié)議組合

firewall-cmd –remove-port=/

查詢區(qū)域中是否啟用了端口和協(xié)議組合

firewall-cmd –query-port=/

如果啟用，此命令將有返回值。沒(méi)有輸出信息。

啟用區(qū)域中的IP偽裝功能

firewall-cmd –add-masquerade

此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個(gè)公有IP。這是地址轉(zhuǎn)換的一種形式，常用于路由。由于內(nèi)核的限制，偽裝功能僅可用于IPv4。

禁用區(qū)域中的IP偽裝

firewall-cmd –remove-masquerade

查詢區(qū)域的偽裝狀態(tài)

firewall-cmd –query-masquerade

如果啟用，此命令將有返回值。沒(méi)有輸出信息。

啟用區(qū)域的ICMP阻塞功能

firewall-cmd –add-icmp-block=

此舉將啟用選中的Internet控制報(bào)文協(xié)議（ICMP）報(bào)文進(jìn)行阻塞。ICMP報(bào)文可以是請(qǐng)求信息或者創(chuàng)建的應(yīng)答報(bào)文，以及錯(cuò)誤應(yīng)答。

禁止區(qū)域的ICMP阻塞功能

firewall-cmd –remove-icmp-block=

查詢區(qū)域的ICMP阻塞功能

firewall-cmd –query-icmp-block=

如果啟用，此命令將有返回值。沒(méi)有輸出信息。

例: 阻塞區(qū)域的響應(yīng)應(yīng)答報(bào)文:

firewall-cmd –zone=public –add-icmp-block=echo-reply

在區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射

firewall-cmd –add-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

端口可以映射到另一臺(tái)主機(jī)的同一端口，也可以是同一主機(jī)或另一主機(jī)的不同端口。端口號(hào)可以是一個(gè)單獨(dú)的端口 或者是端口范圍 – 。協(xié)議可以為 tcp 或udp 。目標(biāo)端口可以是端口號(hào) 或者是端口范圍 – 。目標(biāo)地址可以是 IPv4 地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4。

禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射

firewall-cmd –remove-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射

firewall-cmd –query-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

如下21端陪團(tuán)悔口改成你或巧的端口號(hào) 注意設(shè)置SELinux 或者關(guān)閉SELinux

firewall-cmd –permanent –zone=public –add-port=21/tcp

然后執(zhí)行重新載入firewalld設(shè)置

firewall-cmd –reload

刪除之前的服務(wù)

firewall-cmd –permanent –remove-server=tcp

列出firewall開蘆正放端口

linux刪除端口轉(zhuǎn)發(fā)的介紹就聊到這里吧，感謝你花時(shí)間閱讀本站內(nèi)容，更多關(guān)于linux刪除端口轉(zhuǎn)發(fā),Linux刪除端口轉(zhuǎn)發(fā)，讓網(wǎng)絡(luò)連接更加穩(wěn)定和安全,linux中如何控制端口流量,Linux命令,Linux centos下ftp默認(rèn)端口修改后firewalld如何設(shè)置的信息別忘了在本站進(jìn)行查找喔。

成都創(chuàng)新互聯(lián)科技有限公司，經(jīng)過(guò)多年的不懈努力，公司現(xiàn)已經(jīng)成為一家專業(yè)從事IT產(chǎn)品開發(fā)和營(yíng)銷公司。廣泛應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)、設(shè)計(jì)、SEO優(yōu)化、關(guān)鍵詞排名等多種行業(yè)！

網(wǎng)頁(yè)題目：Linux刪除端口轉(zhuǎn)發(fā)，讓網(wǎng)絡(luò)連接更加穩(wěn)定和安全(linux刪除端口轉(zhuǎn)發(fā))
標(biāo)題鏈接：http://www.5511xx.com/article/cdcdihh.html