就在剛才一個(gè)客戶的意大利vps要安裝centos6.10，現(xiàn)在都centos8了，還在裝centos6.10，由于本人技術(shù)控，實(shí)在不愿意，但是沒辦法，客戶是上帝，我們要盡量滿足客戶的要求，當(dāng)時(shí)不能滿足客戶違法要求，哈哈，三下五除二安裝好了系統(tǒng)，正在洋洋得意的時(shí)候，客戶讓裝webmin，我的天啊，至少2年沒玩過webmin了，安裝步驟都忘了，沒辦法，于是百度啊，找到了安裝方法和步驟，一通命令操作，安裝好了，大功告成，可是網(wǎng)站打不開了，邪門了，之前裝完之后都可以直接打開，于是檢查了，原來是防火墻的問題，于是我就折騰了一下，搞定，接下來我整理了一些開放端口的方法：

方法一：命令行方式

1. 開放端口命令： /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

2.保存：/etc/rc.d/init.d/iptables save

3.重啟服務(wù)：/etc/init.d/iptables restart

4.查看端口是否開放：/sbin/iptables -L -n 

方法二：直接編輯/etc/sysconfig/iptables文件

1.編輯/etc/sysconfig/iptables文件：vi /etc/sysconfig/iptables加入內(nèi)容并保存：-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

2.重啟服務(wù)：/etc/init.d/iptables restart

3.查看端口是否開放：/sbin/iptables -L -n

但是我用方法一一直保存不上，查閱網(wǎng)上發(fā)現(xiàn)直接修改文件不需要iptables save，重啟下iptables 重新加載下配置。iptables save 是將當(dāng)前的iptables寫入到/etc/sysconfig/iptables。我不save直接restart也不行，所以還是方法二吧

查詢端口是否有進(jìn)程守護(hù)用如下命令grep對(duì)應(yīng)端口，如80為端口號(hào)

例：netstat -nalp|grep 80 & netstat -anp | grep 你的端口號(hào)

firewalled命令

火墻的各類配置文件存儲(chǔ)在/usr/lib/firewalld和/etc/firewalld/中的各種xml文件里

firewalld的操作：

yum install firewalld firewall-config  ##安裝firewalld與圖形界面

firewall-config     ##打開圖形界面

systemctl status firewalld    ##查看火墻狀態(tài)

systemctl start firewalld     ##開啟火墻服務(wù)

systemctl stop firewalld      ##關(guān)閉火墻服務(wù)

systemctl enable firewalld     ##開機(jī)自動(dòng)開啟

systemctl disable firewalld    ##開機(jī)不自啟

systemctl mask firewalld       ##凍結(jié)火墻服務(wù)

systemctl unmask firewalld    ##解凍火墻服務(wù)

firewall-cmd --state          ##查看火墻的狀態(tài)

firewall-cmd --get-default-zone   ##查看火墻默認(rèn)的域

firewall-cmd --get-active-zone    ##查看火墻活動(dòng)的域

firewall-cmd --get-zones          ##查看火墻所有可用的域

firewall-cmd --zone=public --list-all   ##列出制定域的所有設(shè)置

firewall-cmd --get-services       ##列出所有預(yù)設(shè)服務(wù)

firewall-cmd --list-all            ##列出默認(rèn)區(qū)域的設(shè)置

firewall-cmd --list-all-zones      ##列出所有區(qū)域的設(shè)置

firewall-cmd --set-default-zone=dmz   ##設(shè)置默認(rèn)區(qū)域?yàn)閐mz

firewall-cmd --add-source=172.25.254.44 --zone=trusted   ##添加172.25.254.44到trusted域中去

firewall-cmd --remove-source=172.25.254.44 --zone=trusted  ##刪除172.25.254.44到trusted域中去

firewall-cmd --remove-interface=eth1 --zone=public  ##刪除public域中的eth1接口

firewall-cmd --add-interface=eth1 --zone=trusted    ##添加trusted域中一個(gè)接口eth1

firewall-cmd --add-service=http    ##添加http服務(wù)到火墻中

firewall-cmd --add-port=8080/tcp    ##添加端口為8080，協(xié)議為tcp的到火墻中

firewall-cmd --permanent --add-service=http  ##永久添加http到火墻中

**-permanent參數(shù)表示永久生效設(shè)置，如果沒有指定-zone參數(shù)，則加入默認(rèn)區(qū)域

firewall-cmd --zone=public --list-ports   ##列出public域中端口

firewall-cmd --permanent --zone=public --add-port=8080/tcp  ##添加端口

firewall-cmd --zone=public --add-port=80/tcp --permanent   （--permanent永久生效，沒有此參數(shù)重啟后失效）

firewall-cmd --permanent --zone=public --remove-port=8080/tcp ##刪除端口

firewall-cmd --add-service=ssh --permanent  ##永久添加ssh服務(wù)（添加完后重新加載一下就可以查看了）

vim /etc/firewalld/zones/public.xml  ##編寫public域的配置文件,可以加服務(wù)（本次實(shí)驗(yàn)添加lftp）

irewall-cmd -reload   ##重新加載火墻，不會(huì)立即中斷當(dāng)前使用的服務(wù)

firewall-cmd --complete-reload  ##重新加載火墻，會(huì)立即中斷當(dāng)前正在使用的服務(wù)

通過firewall-cmd 工具，可以使用 --direct選項(xiàng)再運(yùn)行時(shí)間里增加或移除鏈。如果不熟悉iptables,使用直接接口非常危險(xiǎn)，因?yàn)槟�可能無意間導(dǎo)致火墻被入侵。直接端口模式適用于服務(wù)或程序，以便在運(yùn)行時(shí)間內(nèi)增加特定的火墻規(guī)則。直接端口模式添加的規(guī)則優(yōu)先于應(yīng)用。

firewall-cmd --direct --get-all-rules  ##列出規(guī)則

firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT  ##在filter表中的INPUT鏈中第二條加入允許接受tcp協(xié)議的172.25.254.44的數(shù)據(jù)包通過端口22（sshd）訪問該主機(jī)

firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT  ##移除

firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ！ -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##添加除了44主機(jī)以外的任何主機(jī)都可以訪問

cat /etc/services | grep ssh  ##查看與ssh有關(guān)的服務(wù)信息

##端口轉(zhuǎn)發(fā)（地址偽裝）

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##別的主機(jī)通過22端口訪問該主機(jī)的時(shí)候偽裝到172.25.254.44主機(jī)上（要開啟偽裝才可成功）

firewall-cmd --permanent --add-masquerade  ##開啟偽裝

firewall-cmd--reload   ##需要重新加載

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44  ##移除

firewall-cmd --permanent --remove-masquerade ##關(guān)閉偽裝

##實(shí)現(xiàn)路由功能（連接不同的ip進(jìn)行地址偽裝）

在服務(wù)器上配兩個(gè)網(wǎng)卡eth0:172.25.254.144 eth1:192.168.0.144

客戶端：192.168.0.244

firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.144 masquerade"  

firewall-cmd --add-masquerade  ##開啟偽裝

firewall-cmd --get-icmptypes

firewall-cmd --add-icmp-block=destination-unreacheable  ##ping的時(shí)候顯示目的地不可達(dá)

firewall-cmd --remove-icmp-block=destination-unreacheable  ##移除

firewall-cmd --add-icmp-block=echo_sed

firewall-cmd --add-icmp-block=echo-request

firewall-cmd --remove-icmp-block=echo-request

firewall-cmd --add-icmp-block=echo-request --timeout=5 ##