Ich bin neu im Öffnen von Ports in CentOS. Ich muss TCP-Port 8080 öffnen und habe / ran nmap installiert, um festzustellen, dass es noch nicht geöffnet ist. Ich habe über den Befehl iptables gelesen, ich habe v1.3.5 installiert, aber ich weiß wirklich nicht, wo ich damit anfangen soll, um diesen Port zu öffnen.
Ich würde mich über ein Codebeispiel oder zumindest einen Link zu einer Anleitung zum Öffnen dieses Ports mit iptables (oder einer anderen guten Methode) freuen.
Ich möchte meinen Firewall-Regeln immer einen Kommentar hinzufügen und den Umfang einschränken.
Wenn ich den TCP-Port 8080 für Tomcat von überall aus öffnen würde (keine Bereichsbeschränkung erforderlich), würde ich den folgenden Befehl ausführen
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT -m comment --comment "Tomcat Server port"
Stellen Sie dann sicher, dass Sie Ihre laufende iptables-Konfiguration speichern, damit sie nach dem nächsten Neustart wirksam wird
service iptables save
Hinweis: Damit dieser Teil funktioniert, muss das Kommentarmodul installiert sein. Dies ist wahrscheinlich eine gute Möglichkeit, wenn Sie Centos 5 oder 6 ausführen
PS
Wenn Sie den Bereich einschränken möchten, können Sie das Flag -s verwenden. Hier ist ein Beispiel für die Beschränkung des Datenverkehrs auf 8080 aus dem Subnetz 192.168.1
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT -m comment --comment "Tomcat Server port"
Ich habe die erste von Ihnen aufgeführte Anweisung ausgeführt, sie gespeichert und den Server neu gestartet. Ich kann den mit nmap geöffneten 8080 nicht sehen.
user1062058
10
Falls anbody erfahren hat, dass der Port nach dem Ausführen dieses Befehls nicht geöffnet wurde, ist möglicherweise bereits ein REJECT-Ziel in der INPUT-Kette vorhanden, und Ihre neue Regel wurde erst danach hinzugefügt (ich hatte dieses Problem), was nie erreicht wird. Sie müssen also Ihre Regel vor dem REJECT einfügen. Verwenden Sie zuerst iptables -L -n --line-numbers, um alle Regeln mit Zahlen anzuzeigen, und verwenden Sie dann iptables -I INPUT <n>anstelle des iptables -A INPUTBefehls in der Antwort (wobei <n> die Nummer des REJECT-Ziels war). Dies wird Ihre neue Regel über dem REJECT einfügen und es sollte funktionieren.
Prajeesh Kumar
@prajeesh Was ist der Befehl, um die Reihenfolge der REJECT-Regel nach unten zu verschieben? Lösche ich es einfach und hänge es dann unten wieder an?
Nassign
@Nassign Yep, löschen Sie dieses REJECT und fügen Sie es an der gewünschten Position ein
Scheint, dass FirewallD für diese Befehle ausgeführt werden sollte, sonst funktioniert es nicht.
Unibasil
1
@unibasil Wenn der Firewall-Dämon nicht ausgeführt wird, ist keine Firewall vorhanden. Sie müssen also keine Ports "öffnen", da diese bereits geöffnet sind.
Sergiu Dumitriu
Wie kann ich es wieder schließen?
15.
2
@kiltek --remove-portmacht das Gegenteil von --add-port.
iptables -L -n --line-numbers
, um alle Regeln mit Zahlen anzuzeigen, und verwenden Sie danniptables -I INPUT <n>
anstelle desiptables -A INPUT
Befehls in der Antwort (wobei <n> die Nummer des REJECT-Ziels war). Dies wird Ihre neue Regel über dem REJECT einfügen und es sollte funktionieren.Für CentOS 7:
Weitere Informationen finden Sie in der Dokumentation zu FirewallD .
quelle
--remove-port
macht das Gegenteil von--add-port
.