Centos7开放及查看端口常用命定

CentOS 7 如何开放和查看端口

端口是计算机网络中的一个概念，它是一个逻辑编号，用于标识不同的网络服务或应用程序。每个端口都有一个唯一的数字，范围是 0 到 65535，其中 0 到 1023 是保留的，称为知名端口，用于一些常见的网络服务，如 80 端口用于 HTTP，22 端口用于 SSH，443 端口用于 HTTPS 等。1024 到 65535 是动态端口，用于一些临时的或自定义的网络服务或应用程序。

在 Linux 系统中，端口的开放和关闭是由防火墙来控制的。防火墙是一种安全机制，它可以过滤进出网络的数据包，根据一定的规则来允许或拒绝数据包的通过。防火墙可以提高网络的安全性，防止一些恶意的攻击或入侵。但是，防火墙也会限制一些正常的网络服务或应用程序的访问，因此，我们需要根据实际的需求来配置防火墙，开放或关闭一些端口。

在 CentOS 7 系统中，防火墙的默认管理工具是 firewalld，它是一个动态的防火墙管理器，可以实时地修改防火墙的配置，而不需要重启防火墙或网络服务。firewalld 的配置是基于区域（zone）和服务（service）的，区域是一组防火墙规则的集合，用于定义不同的信任级别和访问权限，服务是一组预定义的端口和协议的集合，用于标识不同的网络服务或应用程序。firewalld 提供了一些命令行工具和图形界面工具来管理防火墙的配置，本文将主要介绍命令行工具 firewall-cmd 的用法。

开放端口

要开放一个或多个端口，我们需要使用 firewall-cmd 命令的 --add-port 选项，指定要开放的端口号和协议类型，以及要应用的区域。例如，要开放 1888 端口的 TCP 协议，我们可以使用以下命令：

firewall-cmd --zone=public --add-port=1888/tcp

这里，我们指定了 public 区域，这是 firewalld 的默认区域，表示公共的、不受信任的网络。如果不指定区域，firewalld 会使用默认区域。我们也可以指定其他的区域，如 home、work、internal、external、dmz 等，具体的区域含义和规则可以参考 firewalld 的文档。

要开放多个端口，我们可以重复使用 --add-port 选项，或者使用逗号分隔的端口列表。例如，要开放 1888、1889、1890 三个端口的 TCP 协议，我们可以使用以下命令：

firewall-cmd --zone=public --add-port=1888/tcp --add-port=1889/tcp --add-port=1890/tcp

或者

firewall-cmd --zone=public --add-port=1888-1890/tcp

注意，使用 firewall-cmd 命令修改防火墙的配置，只会对当前的会话生效，如果重启防火墙或系统，修改的配置会丢失。要使配置永久生效，我们需要使用 --permanent 选项，表示将配置写入到防火墙的配置文件中。例如，要永久开放 1888 端口的 TCP 协议，我们可以使用以下命令：

firewall-cmd --zone=public --add-port=1888/tcp --permanent

使用 --permanent 选项后，配置不会立即生效，需要重载防火墙才能生效。要重载防火墙，我们可以使用以下命令：

firewall-cmd --reload

这样，我们就成功地开放了一个或多个端口，让防火墙允许通过这些端口的数据包。

查看开放的端口

要查看已经开放的端口，我们可以使用 firewall-cmd 命令的 --list-ports 选项，指定要查看的区域。例如，要查看 public 区域已经开放的端口，我们可以使用以下命令：

firewall-cmd --zone=public --list-ports

这个命令会输出类似以下的结果：

1888/tcp 1889/tcp 1890/tcp

这表示 public 区域已经开放了 1888、1889、1890 三个端口的 TCP 协议。我们也可以查看其他区域的开放端口，或者不指定区域，查看默认区域的开放端口。

要查看永久生效的开放端口，我们需要使用 --permanent 选项，表示从防火墙的配置文件中读取配置。例如，要查看 public 区域永久生效的开放端口，我们可以使用以下命令：

firewall-cmd --zone=public --list-ports --permanent

这个命令会输出类似以下的结果：

1888/tcp

这表示 public 区域永久生效的开放端口只有 1888 端口的 TCP 协议。我们也可以查看其他区域的永久生效的开放端口，或者不指定区域，查看默认区域的永久生效的开放端口。

关闭端口

要关闭一个或多个端口，我们需要使用 firewall-cmd 命令的 --remove-port 选项，指定要关闭的端口号和协议类型，以及要应用的区域。例如，要关闭 1888 端口的 TCP 协议，我们可以使用以下命令：

firewall-cmd --zone=public --remove-port=1888/tcp

这里，我们指定了 public 区域，表示公共的、不受信任的网络。如果不指定区域，firewalld 会使用默认区域。我们也可以指定其他的区域，如 home、work、internal、external、dmz 等，具体的区域含义和规则可以参考 firewalld 的文档。

要关闭多个端口，我们可以重复使用 --remove-port 选项，或者使用逗号分隔的端口列表。例如，要关闭 1888、1889、1890 三个端口的 TCP 协议，我们可以使用以下命令：

firewall-cmd --zone=public --remove-port=1888/tcp --remove-port=1889/tcp --remove-port=1890/tcp

或者

firewall-cmd --zone=public --remove-port=1888-1890/tcp

在网络世界中，防火墙是我们的重要防线，它保护着我们的系统免受恶意攻击。然而，有时候我们可能需要对防火墙的配置进行一些调整，以适应我们的特定需求。在这个过程中，firewall-cmd 命令是一个强大的工具。 首先，我们需要了解一个重要的概念：使用 firewall-cmd 命令修改防火墙的配置，只会对当前的会话生效。这意味着，如果你重启防火墙或系统，你所做的所有修改都会立即消失，就像它们从未存在过一样。这可能会让你感到困扰，因为你不得不反复执行相同的命令，以确保你的配置得到应用。 然而，有一个解决方案可以帮助我们解决这个问题。那就是使用 --permanent 选项。这个选项的作用是将你的配置写入到防火墙的配置文件中，这样即使你重启防火墙或系统，你的配置也会保持不变。这就像是给你的配置打了一个“永久保存”的标记，让它在任何情况下都能发挥作用。 例如，假设你想要永久关闭 1888 端口的 TCP。你可以使用以下命令来实现这个目标：

firewall-cmd --permanent --zone=public --remove-port=1888/tcp

这个命令的含义是：在公共区域（public zone）中移除 1888 端口的 TCP 服务，并且这个更改是永久性的。当你运行这个命令后，你会发现 1888 端口的 TCP 服务已经被永久关闭了。 总的来说，firewall-cmd 命令是一个非常强大的工具，它可以帮助我们轻松地管理防火墙的配置。只要我们记住使用 --permanent 选项来确保我们的配置永久生效，我们就可以充分利用这个工具的强大功能。

TAG: CentOS 7端口开放firewall-cmd防火墙管理--add-port--list-ports--permanent--remove-port网络安全Linux摘要