日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在計算機網(wǎng)絡中，端口轉發(fā)是一項非常有用的功能。它允許用戶通過公共網(wǎng)絡連接到私有網(wǎng)絡中的主機或服務。然而，這種功能也存在著潛在的風險，因為它會將私有網(wǎng)絡暴露在公共網(wǎng)絡中。因此，在不需要端口轉發(fā)時，將其刪除是保持網(wǎng)絡連接穩(wěn)定和安全的重要步驟。

成都創(chuàng)新互聯(lián)公司專注于甘南企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設,商城系統(tǒng)網(wǎng)站開發(fā)。甘南網(wǎng)站建設公司,為甘南等地區(qū)提供建站服務。全流程按需網(wǎng)站策劃，專業(yè)設計，全程項目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務

本文將介紹如何在Linux系統(tǒng)中刪除端口轉發(fā)，以確保網(wǎng)絡連接更加穩(wěn)定和安全。

Step 1：確認當前的端口轉發(fā)規(guī)則

在刪除端口轉發(fā)之前，我們需要確認當前的端口轉發(fā)規(guī)則。您可以使用以下命令檢查當前的規(guī)則：

“`

sudo iptables -L -t nat

“`

該命令將列出所有的端口轉發(fā)規(guī)則。如果您確認要刪除某個規(guī)則，請?zhí)恋谌健?/p>

Step 2：先暫時關閉端口轉發(fā)

如果您不確定是否需要刪除某個端口轉發(fā)規(guī)則，建議先暫時關閉該規(guī)則，以確保網(wǎng)絡連接的穩(wěn)定性和安全性。

以下是關閉所有端口轉發(fā)的命令：

“`

sudo sh -c “echo 0 > /proc/sys/net/ipv4/ip_forward”

“`

該命令將禁用所有的端口轉發(fā)，確保網(wǎng)絡連接更加穩(wěn)定和安全。您可以在網(wǎng)絡連接出現(xiàn)問題時再重新啟用它。

Step 3：刪除單個端口轉發(fā)規(guī)則

如果您確定要刪除某個端口轉發(fā)規(guī)則，可以使用以下命令刪除它：

“`

sudo iptables -t nat -D PREROUTING [規(guī)則號]

“`

其中，規(guī)則號可以從“sudo iptables -L -t nat”命令的輸出中找到。

該命令將從當前的端口轉發(fā)規(guī)則中刪除指定的規(guī)則。確認該規(guī)則已從列表中刪除后，您可以重新啟用所有其它規(guī)則。

Step 4：重新啟用端口轉發(fā)

要重新啟用所有端口轉發(fā)規(guī)則，使用以下命令：

“`

sudo sh -c “echo 1 > /proc/sys/net/ipv4/ip_forward”

“`

該命令將重新啟用所有端口轉發(fā)規(guī)則。

結論

刪除端口轉發(fā)規(guī)則是保持網(wǎng)絡連接穩(wěn)定和安全的重要步驟。在執(zhí)行該操作之前，請先確認當前的規(guī)則并暫時關閉所有規(guī)則。如果需要刪除某個規(guī)則，請使用“sudo iptables -t nat -D PREROUTING [規(guī)則號]”命令。執(zhí)行該操作后，請確保重新啟用所有其它規(guī)則，以保持網(wǎng)絡連接的正常運行。

成都網(wǎng)站建設公司-創(chuàng)新互聯(lián),建站經(jīng)驗豐富以策略為先導10多年以來專注數(shù)字化網(wǎng)站建設,提供企業(yè)網(wǎng)站建設,高端網(wǎng)站設計,響應式網(wǎng)站制作,設計師量身打造品牌風格,熱線:028-86922220

linux中如何控制端口流量

配置網(wǎng)卡

建立一臺虛擬機，并安裝完成后以橋接的方式在虛擬機上面添加兩張網(wǎng)卡。分別為eth0和eth1。

eth0: a.b.c.d(外網(wǎng)的上網(wǎng)地址)

eth1: 172.16.44.1(做為內網(wǎng)的網(wǎng)關)

Tip

原先我使用eth0:0的這種虛擬網(wǎng)卡的形式去配置一直不成功，后來使用雙網(wǎng)卡的時候一直忘了把eth0:0這張?zhí)摂M網(wǎng)卡刪掉導致了限速配置一直不成功，浪費了大輪頌把的青蔥。

配置iptables nat

#開啟ip_forward

echo “1”>/proc/sys/net/ipv4/ip_forward

#清除原來的防火墻規(guī)則

iptables -F

iptables -t nat -F

iptables -t mangle -F

#添加nat轉發(fā)

iptables -t nat -A POSTROUTING -s 172.16.44.0/24 -o eth0 -j MASQUERADE

通臘洞鄭過執(zhí)行上面的代碼后，局域網(wǎng)內的電腦就可以上網(wǎng)了。

端口轉發(fā)

由于我的內網(wǎng)還掛了網(wǎng)站，所以要開啟80端口的轉顫孝發(fā)。

iptables -t nat -I PREROUTING -p tcp -d a.b.c.d –dport 80 -j DNAT –to 172.16.44.210:80

iptables -t nat -I POSTROUTING -p tcp -d 172.16.44.210 –dport 80 -j SNAT –to 172.16.44.1

這條命令指定外網(wǎng)地址a.b.c.d的80端口轉發(fā)到172.16.44.210:80上。由于是雙網(wǎng)卡，所以需要做一下回路。

下載限速

下載限速要在eth1上面做，判斷數(shù)據(jù)包的目的地址來做限制。tc包括三部分：隊列、類、過濾器。我使用了htb方式去限制速度，也可以使用cbq，但cbq配置比較復雜一點，而且據(jù)說性能沒htb好。

#刪除原來的tc規(guī)則隊列

tc qdisc del dev eth1 root

#添加tc規(guī)則隊列

tc qdisc add dev eth1 root handle 10: htb default 256

#生成根類

tc class add dev eth1 parent 10: classid 10:1 htb rate 100mbit ceil 100mbit

#支類列表用于限制速度

#這里的rate指的是保證帶寬,ceil是更大帶寬。

tc class add dev eth1 parent 10:1 classid 10:10 htb rate 400kbps ceil 400kbps prio 1

#添加支類規(guī)則隊列

#采用sfq偽隨機隊列，并且10秒重置一次散列函數(shù)。

tc qdisc add dev eth1 parent 10:10 handle 101: sfq perturb 10

#建立網(wǎng)絡包過濾器，設置fw。

tc filter add dev eth1 parent 10: protocol ip prio 10 handle 1 fw classid 10:10

#在iptables里面設定mark值，與上面的handle值對應。

iptables -t mangle -A POSTROUTING -d 172.16.44.130 -j MARK –set-mark 1

通過上面的代碼就可以限制172.16.44.130這臺機子的到400kbps。

Tip

經(jīng)過實際測試這里的kbps實際上就是KB/S每秒千字節(jié)。另一個單位是kbit，這個才是每秒千比特。這里的172.16.44.130也可以寫成一個網(wǎng)段，比如：172.16.44.0/24

上傳限速

上傳限速的原理其實跟下載的差不多，只不過限制的網(wǎng)卡不同，要在eth0上過濾來源地址去限制。

#刪除原來的tc規(guī)則隊列

tc qdisc del dev eth0 root

#添加tc規(guī)則隊列

tc qdisc add dev eth0 root handle 20: htb default 256

#生成根類

tc class add dev eth0 parent 20: classid 20:1 htb rate 100mbit ceil 100mbit

#支類列表用于限制速度

tc class add dev eth0 parent 20:1 classid 20:10 htb rate 40kbps ceil 40kbps prio 1

#添加支類規(guī)則隊列

tc qdisc add dev eth0 parent 20:10 handle 201: sfq perturb 10

#建立網(wǎng)絡包過濾器

tc filter add dev eth0 parent 20: protocol ip prio 100 handle 2 fw classid 20:10

iptables -t mangle -A PREROUTING -s 172.16.44.130 -j MARK –set-mark 2

Tip

跟下載不同的是POSTROUTING要改成PREROUTING，-d改成-s。

觀察連接數(shù)

通過iptables的nat連接可以通過下面的代碼查看。至于統(tǒng)計連接數(shù)可以寫代碼實現(xiàn)，也可以利用awk,grep等工具。反正里面的內容就是文本，處理起來也比較簡單。

cat /proc/net/ip_conntrack

寫在結尾

到此上網(wǎng)、端口轉發(fā)和流量限制都已經(jīng)實現(xiàn)。下次再考慮配置個dhcp server和dnasq。至于一些路由器其它諸如mac地址綁定，限制上網(wǎng)等用到的時候再去研究研究。

Linux命令

快照功能：記錄當前的硬盤的狀態(tài)。剛建快照時快照占用內存為0，標記了當前硬盤的存儲狀態(tài)。當虛擬機對快照標記的內容改寫時，會將改寫的內容存儲進快照，與未改寫的部分整合得到完整的快照。當快照標記的部分被完全改寫，那么快照存儲空間完整記錄了當時拍攝時的內存狀態(tài)。

參數(shù)形式

之一種：參數(shù)用一橫的說明后面的參數(shù)是字符形式。

第二種：參數(shù)用兩橫的說明后面的參數(shù)是單詞形式。

第三種：參數(shù)前有橫的老鏈頃是 System V風格。

第四種：參數(shù)前沒有橫的是 BSD風格。

cat、more、less、head、tail命令的比較：

cat命令可以一次顯示整個文件，如果文件比較大，使用不是很方便；

more命令可以讓屏幕在顯示滿一屏幕時暫停，按空格往前翻頁，按b往后翻頁。

less命令也可以分頁顯示文件，和more命令的區(qū)別就在于： 支持上下鍵卷動屏幕、查找；不需要在一開始就讀取整個文件，打開大文件時比more、vim更快。

head命令用于查看文件的前n行。

tail命令用于查看文件的后n行，加上-f命令，查看在線日志非常方便，可以打印最新增加的日志。

一般模式：

編輯模式：

命令模式：

編碼

多行操作(列編輯模式)

插入：ctrl+v進入列編輯模式，上下移動光標選擇需要插入的位置，然后輸入大寫I，輸入需要文本，最后按esc鍵退出，就會發(fā)現(xiàn)文本會在選擇的多行中插入。

刪除：ctrl+v進入列編輯模式，上下移動光標選中需要刪除的部分，然后按d，就會刪除選中的內容。

①head：顯示文件頭部內容

②tail：輸出文件尾部內容

注意：用vim和vi修改內容會刪除源文件并生成新文件，所以tail -f會失效。需要用到

追加和覆蓋語句（>或>>），才能被tail -f監(jiān)視到。

一般用于查看小文件

查看壓縮文件中的文本內容

例：

①more：文件內容分屏查看器

②less：分屏顯示文件內容，效率比more高

1、簡單讀取

運行腳本如下

測試結果為：

2、-p 參數(shù)，允許在 read 命令行中直接指定一個提示。

運行腳本如下

測試結果為：

echo （輸出內容到控制臺）

輸出給定文本的sha256加密后的內容

①顯示當前時間信息

②顯示當前時間年月日

③顯示當侍陸前時間年月日時分秒

④顯示昨天

⑤顯示明天時間

⑥顯示上個月時間

需要注意的是取下個月的命令存在bug，執(zhí)行如下命令會得到21-10，但是正常應該得到21-09，需要注意

date -d “+1 month” +%y-%m

⑦修改系統(tǒng)時間

⑧獲取當前時間戳

獲取秒時間戳： date +%s

獲喚襪取毫秒時間戳：$

查看日歷

（1）查看當前月的日歷

（2）查看2023年的日歷

例：

對比gzip/gunzip，zip/unzip可以壓縮文件和目錄且保留源文件。

①zip：壓縮

②unzip：解壓縮

只能壓縮文件不能壓縮目錄，不保留原來的文件。

gzip 文件 （只能將文件壓縮為*.gz文件）

gunzip 文件.gz （解壓縮文件命令）

例： crontab -e

（1）進入crontab編輯界面。會打開vim編輯你的工作。

（2）每隔1分鐘，向/root/bailongma.txt文件中添加一個11的數(shù)字

*/1 * * * * /bin/echo ”11” >> /root/bailongma.txt

（3）可以用tail -f 目標文件來實施監(jiān)控追加的內容

查看日志

可以用tail -f /var/log/cron.log觀察

Cron表達式見文章：

ls

cd

例：

cd -P $(dirname $p1) ； pwd 先跳轉到文件的所在目錄，再打印$p1文件的實際路徑

概述

①cp（copy）：只能在本機中復制

②scp（secure copy）：可以復制文件給遠程主機

scp -r test.sh hxr@hadoop102:/root

③rsync（remote sync）：功能與scp相同，但是不會改文件屬性

rsync -av test.sh test.sh hxr@hadoop102:/root

④nc（netcat）：監(jiān)聽端口，可以實現(xiàn)機器之間傳輸文件。

nc -lk 7777 (-l表示listen，-k表示keep)

強制覆蓋不提示的方法：\cp

例：scp -r test.sh hxr@bigdata1:/root

例：rsync -av test.sh hxr@bigdata1:/root

例：

nc -lp> nc_test.txt

nc -w 1 hadoop102 shutdown > reboot > halt

（1）sync（功能描述：將數(shù)據(jù)由內存同步到硬盤中）

（2）halt（功能描述：關閉系統(tǒng)，等同于shutdown -h now 和 poweroff）

（3）reboot（功能描述：就是重啟，等同于 shutdown -r now）

（4）shutdown

安裝

yum install -y telnet-server telnet

ls -i 顯示文件的節(jié)點號

find -inum 節(jié)點號 -delete 刪除指定的節(jié)點即可刪除對應的文件

啟動一個服務： systemctl start postfix.service

關閉一個服務： systemctl stop postfix.service

重啟一個服務： systemctl restart postfix.service

顯示一個服務的狀態(tài)： systemctl status postfix.service

在開機時啟用一個服務： systemctl enable postfix.service

在開機時禁用一個服務： systemctl disable postfix.service

注：在enable的時候會打印出來該啟動文件的位置

列出所有已經(jīng)安裝的服務及狀態(tài)：

systemctl list-units

systemctl list-unit-files

查看服務列表狀態(tài):

systemctl list-units –type=service

查看服務是否開機啟動： systemctl is-enabled postfix.service

查看已啟動的服務列表： systemctl list-unit-files | grep enabled

查看啟動失敗的服務列表： systemctl –failed

查看服務日志： journalctl -u postfix -n 10 -f

命令類似systemctl，用于操作native service。

添加腳本為服務(需要指定啟動級別和優(yōu)先級)： chkconfig –add

刪除服務： chkconfig –del

單獨查看某一服務是否開機啟動的命令 ： chkconfig –list

單獨開啟某一服務的命令 ： chkconfig on

單獨關閉某一服務的命令： chkconfig off

查看某一服務的狀態(tài)： /etc/intd.d/ status

啟用服務就是在當前”runlevel”的配置文件目錄 /etc/systemd/system/multi-user.target.wants 里，建立 /usr/lib/systemd/system 里面對應服務配置文件的軟鏈接；禁用服務就是刪除此軟鏈接，添加服務就是添加軟連接。

su 用戶名稱 （切換用戶，只能獲得用戶的執(zhí)行權限，不能獲得環(huán)境變量）

su – 用戶名稱（切換到用戶并獲得該用戶的環(huán)境變量及執(zhí)行權限）

echo $PATH 打印環(huán)境變量

設置普通用戶具有root權限

修改 /etc/sudoers 文件，找到下面一行(91行)，在root下面添加一行，如下 所示：

或者配置成采用sudo命令時，不需要輸入密碼

修改完畢，現(xiàn)在可以用hxr 帳號登錄，然后用命令 sudo ，即可獲得root權限進行操作。

以azkaban用戶執(zhí)行引號中的命令

gpasswd -d 將用戶從組中刪除

gpasswd -a 將用戶加入到組中

用戶組的管理涉及用戶組的添加、刪除和修改。組的增加、刪除和修改實際上就是對 /etc/group文件的更新。

0首位表示類型 – 代表文件 d 代表目錄 l 鏈接文檔(link file)

三種特殊權限suid、sgid、sticky

例子:

變更文件權限方式一

例：chmod u-x,o+x houge.txt

變更文件權限方式二

例：chmod -R/mnt/ 修改整個文件夾的文件權限

在linux中創(chuàng)建文件或者目錄會有一個默認權限的，這個默認權限是由umask決定的（默認為0022）。umask設置的是權限的“補碼”，而我們常用chmod設置的是文件權限碼。一般在/etc/profile 、~/.bashprofile 或者 ~/.profile中設置umask值。

umask計算

如root用戶的默認umask為0022(之一個0 代表特殊權限位，這里先不考慮)，創(chuàng)建的文件默認權限是644(即默認666掩上umask的022)，創(chuàng)建的目錄是755(即默認777掩上umask的022)。

對于root用戶的umask=022這個來說，777權限二進制碼就是（111）（111）（111），022權限二進制碼為（000）（010）（010）。

上面就是一個umask的正常計算過程，但是這樣實在是太麻煩了。我們使用如下的簡單的方法快速計算。

上面的這個方法計算是非常方便的， 為何得到奇數(shù)要+1呢？

文件的更大權限是666，都是偶數(shù)，你得到奇數(shù)，說明你的umask有奇數(shù)啊，讀為4，寫為2，都是偶數(shù)，說明你有執(zhí)行權限的。

就按照上面的umask=023為例，在計算其他用戶權限的時候6-3=3 ，6是讀寫，3是寫和執(zhí)行，其實應該是讀寫權限減去讀權限的得到寫權限的，相當于我們多減去了一個執(zhí)行權限。所以結果加1。

umask修改

如果想單獨修改某個文件夾的新建文件的權限，可以使用setfacl命令。

例：遞歸改變文件所有者和所有組 chown -R hxr:hxr /mnt

Linux centos下ftp默認端口修改后firewalld如何設置

centos 7中防火墻是一個非常的強大的功能了，但對于centos 7中在防火墻中進行了升級了，下面我們一起來詳細的看看關于centos 7中防火墻使用方法。

FirewallD 提供了支持網(wǎng)絡/防火墻區(qū)域(zone)定義網(wǎng)絡鏈接以及接口安全等級的動態(tài)防火墻管理工具。它支持 IPv4, IPv6 防火墻設置以及以太網(wǎng)橋接，并且擁有運行時配置和永久配置選項。它也支持允許服務或者應用程序直接添加防火墻規(guī)則的接口。 以前的 system-config-firewall/lokkit 防火墻模型是靜態(tài)的，每次修改都要求防火墻完全重啟。這個過程包括內核 netfilter 防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會破壞狀態(tài)防火墻和確立的連接。

相反，firewall daemon 動態(tài)管理防火墻，不需要重啟整個防火墻便可應用更改。因而也就沒有必要重載所有內核防火墻模塊了。不過，要使用 firewall daemon 就要求防火墻的所有變更都要通過該守護進程來實散纖現(xiàn)，以確保守護進程中的狀態(tài)和內核里的防火墻是一致的。另外，firewall daemon 無法解析由 ip*tables 和 ebtables 命令行工具添加的防火墻規(guī)則兆穗。

守護進程通過 D-BUS 提供當前激活的防火墻設置信息，也通過 D-BUS 接受使用 PolicyKit 認證方式做的更改。

“守護進程”

應用程序、守護進程和用戶可以通過 D-BUS 請求啟用一個防火墻特性。特性可以是預定義的防火墻功能，如：服務、端口和協(xié)議的組合、端口/數(shù)據(jù)報轉發(fā)、偽裝、ICMP 攔截或自定義規(guī)則等。該功能可以啟用確定的一段時間也可以再次停用。

通過所謂的直接接口，其他的服務(例如 libvirt )能夠通過 iptables 變元(arguments)和參數(shù)(parameters)增加自己的規(guī)則。

amanda 、ftp 、samba 和 tftp 服務的 netfilter 防火墻助手也被“守護進程”解決了,只要它們還作為預定義服務的一部分。附加助手的裝載不作為當前接口的一部分。由于一些助手只有在由模塊控制的所有連接都關閉后才可裝載。因而，跟蹤連接信息很重要，需要列入考慮范圍。

靜態(tài)防火墻(system-config-firewall/lokkit)

使用 system-config-firewall 和 lokkit 的靜態(tài)防火墻模型實際上仍然可用并將繼續(xù)提供，但卻不能與“守護進程”同時使用。用戶或者管理員可以決定使用哪一種方案。

在軟件安裝，初次啟動或者是首次聯(lián)網(wǎng)時，將會出現(xiàn)一個選擇器。通過它你可以選擇要使用的防火墻方案。其他的解決方案將保持完整，可以通過更換模式啟用。

firewall daemon 獨立于 system-config-firewall，但二者不能同時使用。

使用iptables和ip6tables的靜態(tài)防火墻規(guī)則

如果你想使用自己的 iptables 和 ip6tables 靜態(tài)防火墻規(guī)則, 那么請安裝 iptables-services 并且禁用 firewalld ，啟用 iptables 和ip6tables:

yum install iptables-services

systemctl mask firewalld.service

systemctl enable iptables.service

systemctl enable ip6tables.service

靜態(tài)防火墻規(guī)則配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .

注： iptables 與 iptables-services 軟件包不提供與服務配套使用的防火墻規(guī)則. 這些服務是用來保障兼容性以及供想使用自己防火墻規(guī)則的人使用的. 你可以安裝并使用 system-config-firewall 來創(chuàng)建上述服務需要的規(guī)則. 為了能使用 system-config-firewall, 你必須停止 firewalld.

為服務創(chuàng)建規(guī)則并停用 firewalld 后，就可以沖猜仿啟用 iptables 與 ip6tables 服務了:

systemctl stop firewalld.service

systemctl start iptables.service

systemctl start ip6tables.service

什么是區(qū)域？

網(wǎng)絡區(qū)域定義了網(wǎng)絡連接的可信等級。這是一個一對多的關系，這意味著一次連接可以僅僅是一個區(qū)域的一部分，而一個區(qū)域可以用于很多連接。

預定義的服務

服務是端口和/或協(xié)議入口的組合。備選內容包括 netfilter 助手模塊以及 IPv4、IPv6地址。

端口和協(xié)議

定義了 tcp 或 udp 端口，端口可以是一個端口或者端口范圍。

ICMP阻塞

可以選擇 Internet 控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應。

偽裝

私有網(wǎng)絡地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉換。

端口轉發(fā)

端口可以映射到另一個端口以及/或者其他主機。

哪個區(qū)域可用?

由firewalld 提供的區(qū)域按照從不信任到信任的順序排序。

丟棄

任何流入網(wǎng)絡的包都被丟棄，不作出任何響應。只允許流出的網(wǎng)絡連接。

阻塞

任何進入的網(wǎng)絡連接都被拒絕，并返回 IPv4 的 icmp-host-prohibited 報文或者 IPv6 的 icmp6-adm-prohibited 報文。只允許由該系統(tǒng)初始化的網(wǎng)絡連接。

公開

用以可以公開的部分。你認為網(wǎng)絡中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。（You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.）

外部

用在路由器等啟用偽裝的外部網(wǎng)絡。你認為網(wǎng)絡中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。

隔離區(qū)（dmz）

用以允許隔離區(qū)（dmz）中的電腦有限地被外界網(wǎng)絡訪問。只接受被選中的連接。

工作

用在工作網(wǎng)絡。你信任網(wǎng)絡中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。

家庭

用在家庭網(wǎng)絡。你信任網(wǎng)絡中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。

內部

用在內部網(wǎng)絡。你信任網(wǎng)絡中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。

受信任的

允許所有網(wǎng)絡連接。

我應該選用哪個區(qū)域?

例如，公共的 WIFI 連接應該主要為不受信任的，家庭的有線網(wǎng)絡應該是相當可信任的。根據(jù)與你使用的網(wǎng)絡更符合的區(qū)域進行選擇。

如何配置或者增加區(qū)域?

你可以使用任何一種 firewalld 配置工具來配置或者增加區(qū)域，以及修改配置。工具有例如 firewall-config 這樣的圖形界面工具， firewall-cmd 這樣的命令行工具，以及D-BUS接口?；蛘吣阋部梢栽谂渲梦募夸浿袆?chuàng)建或者拷貝區(qū)域文件。 @PREFIX@/lib/firewalld/zones 被用于默認和備用配置，/etc/firewalld/zones 被用于用戶創(chuàng)建和自定義配置文件。

如何為網(wǎng)絡連接設置或者修改區(qū)域

區(qū)域設置以 ZONE= 選項 存儲在網(wǎng)絡連接的ifcfg文件中。如果這個選項缺失或者為空，firewalld 將使用配置的默認區(qū)域。

如果這個連接受到 NetworkManager 控制，你也可以使用 nm-connection-editor 來修改區(qū)域。

由NetworkManager控制的網(wǎng)絡連接

防火墻不能夠通過 NetworkManager 顯示的名稱來配置網(wǎng)絡連接，只能配置網(wǎng)絡接口。因此在網(wǎng)絡連接之前 NetworkManager 將配置文件所述連接對應的網(wǎng)絡接口告訴 firewalld 。如果在配置文件中沒有配置區(qū)域，接口將配置到 firewalld 的默認區(qū)域。如果網(wǎng)絡連接使用了不止一個接口，所有的接口都會應用到 fiwewalld。接口名稱的改變也將由 NetworkManager 控制并應用到firewalld。

為了簡化，自此，網(wǎng)絡連接將被用作與區(qū)域的關系。

如果一個接口斷開了，NetworkManager也將告訴firewalld從區(qū)域中刪除該接口。

當firewalld由systemd或者init腳本啟動或者重啟后，firewalld將通知NetworkManager把網(wǎng)絡連接增加到區(qū)域。

由腳本控制的網(wǎng)絡

對于由網(wǎng)絡腳本控制的連接有一條限制：沒有守護進程通知 firewalld 將連接增加到區(qū)域。這項工作僅在 ifcfg-post 腳本進行。因此，此后對網(wǎng)絡連接的重命名將不能被應用到firewalld。同樣，在連接活動時重啟 firewalld 將導致與其失去關聯(lián)。現(xiàn)在有意修復此情況。最簡單的是將全部未配置連接加入默認區(qū)域。

區(qū)域定義了本區(qū)域中防火墻的特性：

使用firewalld

你可以通過圖形界面工具 firewall-config 或者命令行客戶端 firewall-cmd 啟用或者關閉防火墻特性。

使用firewall-cmd

命令行工具 firewall-cmd 支持全部防火墻特性。對于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒有其他輸出。

一般應用

獲取 firewalld 狀態(tài)

firewall-cmd –state

此舉返回 firewalld 的狀態(tài)，沒有任何輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：

firewall-cmd –state && echo “Running” || echo “Not running”

在 Fedora 19 中, 狀態(tài)輸出比此前直觀:

# rpm -qf $( which firewall-cmd )

firewalld-0.3.3-2.fc19.noarch# firewall-cmd –state

not running

在不改變狀態(tài)的條件下重新加載防火墻：

firewall-cmd –reload

如果你使用–complete-reload，狀態(tài)信息將會丟失。這個選項應當僅用于處理防火墻問題時，例如，狀態(tài)信息和防火墻規(guī)則都正常，但是不能建立任何連接的情況。

獲取支持的區(qū)域列表

firewall-cmd –get-zones

這條命令輸出用空格分隔的列表。

獲取所有支持的服務

firewall-cmd –get-services

這條命令輸出用空格分隔的列表。

獲取所有支持的ICMP類型

firewall-cmd –get-icmptypes

這條命令輸出用空格分隔的列表。

列出全部啟用的區(qū)域的特性

firewall-cmd –list-all-zones

輸出格式是：

interfaces: ..

services: ..

ports: ..

forward-ports: ..

icmp-blocks: ….

輸出區(qū)域 全部啟用的特性。如果生略區(qū)域，將顯示默認區(qū)域的信息。

firewall-cmd –list-all

獲取默認區(qū)域的網(wǎng)絡設置

firewall-cmd –get-default-zone

設置默認區(qū)域

firewall-cmd –set-default-zone=

流入默認區(qū)域中配置的接口的新訪問請求將被置入新的默認區(qū)域。當前活動的連接將不受影響。

獲取活動的區(qū)域

firewall-cmd –get-active-zones

這條命令將用以下格式輸出每個區(qū)域所含接口：

: ..: ..

根據(jù)接口獲取區(qū)域

firewall-cmd –get-zone-of-interface=

這條命令將輸出接口所屬的區(qū)域名稱。

將接口增加到區(qū)域

firewall-cmd –add-interface=

如果接口不屬于區(qū)域，接口將被增加到區(qū)域。如果區(qū)域被省略了，將使用默認區(qū)域。接口在重新加載后將重新應用。

修改接口所屬區(qū)域

firewall-cmd –change-interface=

這個選項與 –add-interface 選項相似，但是當接口已經(jīng)存在于另一個區(qū)域的時候，該接口將被添加到新的區(qū)域。

從區(qū)域中刪除一個接口

firewall-cmd –remove-interface=

查詢區(qū)域中是否包含某接口

firewall-cmd –query-interface=

返回接口是否存在于該區(qū)域。沒有輸出。

列舉區(qū)域中啟用的服務

firewall-cmd –list-services

啟用應急模式阻斷所有網(wǎng)絡連接，以防出現(xiàn)緊急狀況

firewall-cmd –panic-on

禁用應急模式

firewall-cmd –panic-off

代碼如下 復制代碼

應急模式在 0.3.0 版本中發(fā)生了變化

在 0.3.0 之前的 FirewallD版本中, panic 選項是 –enable-panic 與 –disable-panic.

查詢應急模式

firewall-cmd –query-panic

此命令返回應急模式的狀態(tài)，沒有輸出。可以使用以下方式獲得狀態(tài)輸出：

firewall-cmd –query-panic && echo “On” || echo “Off”

處理運行時區(qū)域

運行時模式下對區(qū)域進行的修改不是永久有效的。重新加載或者重啟后修改將失效。

啟用區(qū)域中的一種服務

firewall-cmd –add-service=

此舉啟用區(qū)域中的一種服務。如果未指定區(qū)域，將使用默認區(qū)域。如果設定了超時時間，服務將只啟用特定秒數(shù)。如果服務已經(jīng)活躍，將不會有任何警告信息。

例: 使區(qū)域中的ipp-client服務生效60秒:

firewall-cmd –zone=home –add-service=ipp-client –timeout=60

例: 啟用默認區(qū)域中的http服務:

firewall-cmd –add-service=http

禁用區(qū)域中的某種服務

firewall-cmd –remove-service=

此舉禁用區(qū)域中的某種服務。如果未指定區(qū)域，將使用默認區(qū)域。

例: 禁止home區(qū)域中的http服務:

firewall-cmd –zone=home –remove-service=http

區(qū)域種的服務將被禁用。如果服務沒有啟用，將不會有任何警告信息。

查詢區(qū)域中是否啟用了特定服務

firewall-cmd –query-service=

如果服務啟用，將返回1,否則返回0。沒有輸出信息。

啟用區(qū)域端口和協(xié)議組合

firewall-cmd –add-port=/

此舉將啟用端口和協(xié)議的組合。端口可以是一個單獨的端口 或者是一個端口范圍 – 。協(xié)議可以是 tcp 或 udp。

禁用端口和協(xié)議組合

firewall-cmd –remove-port=/

查詢區(qū)域中是否啟用了端口和協(xié)議組合

firewall-cmd –query-port=/

如果啟用，此命令將有返回值。沒有輸出信息。

啟用區(qū)域中的IP偽裝功能

firewall-cmd –add-masquerade

此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡的地址將被隱藏并映射到一個公有IP。這是地址轉換的一種形式，常用于路由。由于內核的限制，偽裝功能僅可用于IPv4。

禁用區(qū)域中的IP偽裝

firewall-cmd –remove-masquerade

查詢區(qū)域的偽裝狀態(tài)

firewall-cmd –query-masquerade

如果啟用，此命令將有返回值。沒有輸出信息。

啟用區(qū)域的ICMP阻塞功能

firewall-cmd –add-icmp-block=

此舉將啟用選中的Internet控制報文協(xié)議（ICMP）報文進行阻塞。ICMP報文可以是請求信息或者創(chuàng)建的應答報文，以及錯誤應答。

禁止區(qū)域的ICMP阻塞功能

firewall-cmd –remove-icmp-block=

查詢區(qū)域的ICMP阻塞功能

firewall-cmd –query-icmp-block=

如果啟用，此命令將有返回值。沒有輸出信息。

例: 阻塞區(qū)域的響應應答報文:

firewall-cmd –zone=public –add-icmp-block=echo-reply

在區(qū)域中啟用端口轉發(fā)或映射

firewall-cmd –add-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

端口可以映射到另一臺主機的同一端口，也可以是同一主機或另一主機的不同端口。端口號可以是一個單獨的端口 或者是端口范圍 – 。協(xié)議可以為 tcp 或udp 。目標端口可以是端口號 或者是端口范圍 – 。目標地址可以是 IPv4 地址。受內核限制，端口轉發(fā)功能僅可用于IPv4。

禁止區(qū)域的端口轉發(fā)或者端口映射

firewall-cmd –remove-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

查詢區(qū)域的端口轉發(fā)或者端口映射

firewall-cmd –query-forward-port=port=:proto= { :toport= | :toaddr= | :toport=:toaddr= }

如下21端陪團悔口改成你或巧的端口號 注意設置SELinux 或者關閉SELinux

firewall-cmd –permanent –zone=public –add-port=21/tcp

然后執(zhí)行重新載入firewalld設置

firewall-cmd –reload

刪除之前的服務

firewall-cmd –permanent –remove-server=tcp

列出firewall開蘆正放端口

linux刪除端口轉發(fā)的介紹就聊到這里吧，感謝你花時間閱讀本站內容，更多關于linux刪除端口轉發(fā),Linux刪除端口轉發(fā)，讓網(wǎng)絡連接更加穩(wěn)定和安全,linux中如何控制端口流量,Linux命令,Linux centos下ftp默認端口修改后firewalld如何設置的信息別忘了在本站進行查找喔。

成都創(chuàng)新互聯(lián)科技有限公司，經(jīng)過多年的不懈努力，公司現(xiàn)已經(jīng)成為一家專業(yè)從事IT產品開發(fā)和營銷公司。廣泛應用于計算機網(wǎng)絡、設計、SEO優(yōu)化、關鍵詞排名等多種行業(yè)！

網(wǎng)站題目：Linux刪除端口轉發(fā)，讓網(wǎng)絡連接更加穩(wěn)定和安全(linux刪除端口轉發(fā))
網(wǎng)站URL：http://m.5511xx.com/article/cdcdihh.html