linux禁止埠訪問

① linux 如何開放埠和關閉埠

1、查看哪些埠被打開netstat -anp。

(1)linux禁止埠訪問擴展閱讀:

liunx常見埠詳細說明 :

1、埠：7

服務：Echo

說明：能看到許多人搜索Fraggle放大器時，發送到X.X.X.0和X.X.X.255的信息。

2、埠：21

服務：FTP

說明：FTP伺服器所開放的埠，用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly
Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。

3、埠：22

服務：Ssh

說明：PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少的漏洞

存在。

4、埠：23

服務：Telnet

說明：遠程登錄，入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny
Telnet Server就開放這個埠。

5、埠：25

服務：SMTP

說明：SMTP伺服器所開放的埠，用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接到高帶寬的E-MAIL伺服器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。

6、埠：53

服務：Domain Name Server(DNS)

說明：DNS伺服器所開放的埠，入侵者可能是試圖進行區域傳遞(TCP)，欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。

7、埠：80

服務：HTTP

說明：用於網頁瀏覽。木馬Executor開放此埠。

8、埠：102

服務：Message transfer agent(MTA)-X.400 over TCP/IP

說明：消息傳輸代理。

9、埠：110

服務：pop3

說明：POP3(Post Office Protocol

伺服器開放此埠，用於接收郵件，客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。

10、埠：137、138、139

服務：NETBIOS Name Service

說明：其中137、138是UDP埠，當通過網上鄰居傳輸文件時用這個埠。而139埠：通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。

11、埠：143

服務：Interim Mail Access Protocol v2

說明：和POP3的安全問題一樣，許多IMAP伺服器存在有緩沖區溢出漏洞。

記住：一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後，這些漏洞變的很流行。這一埠還被用於IMAP2，但並不流行。

12、埠：161

服務：SNMP

說明：SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中，通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。

SNMP包可能會被錯誤的指向用戶的網路。

13、埠：389

服務：LDAP、ILS

說明：輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠 。

14、埠：443

服務：Https

說明：網頁瀏覽埠，能提供加密和通過安全埠傳輸的另一種HTTP。

15、埠：993

服務：IMAP

說明：SSL(Secure Sockets layer)

16、埠：1433

服務：SQL

說明：Microsoft的SQL服務開放的埠。

17、埠：1503

服務：NetMeeting T.120

說明：NetMeeting T.120

18、埠：1720

服務：NetMeeting

說明：NetMeeting H.233 call Setup。

19、埠：1731

服務：NetMeeting Audio Call Control

說明：NetMeeting音頻調用控制。

20、埠：3389

服務：超級終端

說明：WINDOWS 2000終端開放此埠。

21、埠：4000

服務：QQ客戶端

說明：騰訊QQ客戶端開放此埠。

22、埠：5631

服務：pcAnywere

說明：有時會看到很多這個埠的掃描，這依賴於用戶所在的位置。當用戶打開pcAnywere時，它會自動掃描區域網C類網以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會尋找開放這種服務的計算機。所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描包常含埠22的UDP數據包。

23、埠：6970

服務：RealAudio

說明：RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP-7070埠外向控制連接設置的。

24、埠：7323

服務：[NULL]

說明：Sygate伺服器端。

25、埠：8000

服務：OICQ

說明：騰訊QQ伺服器端開放此埠。

26、埠：8010

服務：Wingate

說明：Wingate代理開放此埠。

27、埠：8080

服務：代理埠

說明：WWW代理開放此埠。

② linux下如何屏蔽埠

埠是linux下應用軟體因需要而開啟的socket套接字，具有唯一性。埠可以查看、啟動關閉、設置防火牆規則等。

1、埠查看

netstat -tln //表示已數字形式查看，正在監聽的埠

netstat -ap //查看所有應用佔用埠情況

2、啟動停止

埠自己是不會停止和啟動的，需要停止和啟動的是埠對應的應用。

可以先找到埠，再對應PID，命令如下：

netstat -anp|grep 57069 //這個是要找的埠號

lsof -i:57069 //查找器PID信息

第三部殺死進程：圖例裡面沒有在這里寫上，kill -9 PID

3、屏蔽

linux下一般使用防火牆的filter規則 定義允許或者不允許進行屏蔽。對於filter一般只能做在3個鏈上：INPUT ，FORWARD ，OUTPUT。

例如設置在輸入端屏蔽53埠：

iptables-AINPUT1-d172.16.100.1-pudp--dport53-jREJECT

-A是增加規則，-d：表示匹配目標地址，-pudp表示UPD協議，--dPort 是埠53

這里表示在輸入端目的地址是172.16.100.1的53埠被屏蔽

③ linux如何限制埠可被訪問的區域

1、查看系統對外開放的埠

netstat -tunlp

把裡面的埠全在/etc/sysconfig/iptables文件里配置一下，如果沒有這個iptables文件，就創建一個

2、編輯/etc/sysconfig/iptables，如下：

# Generated by iptables-save v1.4.7 on Fri Aug 21 23:24:02 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT
-A INPUT -p udp -m udp --dport 111 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p udp -m udp --dport 48894 -j ACCEPT
-A INPUT -p udp -m udp --dport 923 -j ACCEPT
-A INPUT -p udp -m udp --dport 942 -j ACCEPT

-A INPUT -s 192.168.61.163 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 192.168.61.164 -p tcp -m tcp --dport 0:65535 -j ACCEPT
-A INPUT -s 1192.168.61.165 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Aug 21 23:24:02 2015

裡面還配置了三台相近的伺服器所有埠都可以訪問

3、配置完之後重啟防火牆就可以了

service iptables restart

④ linux防火牆禁止80埠入站，但是依然可以訪問只是很慢

/etc/sysconfig/iptables
修改這個文件，把下面這一行注掉。

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

重啟iptables
/etc/init.d/iptables restart

⑤ linux設置除白名單ip外不能訪問22埠

首先你要知道你的linux系統的版本是屬於哪個分發版的。當然如果你對自己的linux系統版本不知道的話也沒關系。linux系統它的防火牆名為「iptables」如果你打開linux的話是黑色的話，那麼你是處在終端階段，這樣如果需要打開你的防火牆的話，輸入「chkconfig iptables on」，當然關閉防火牆的話只要將指令的「on」改成「off」，在執行命令即可。當然是需要重啟計算機才能正式生效。 當然並不是只有一定命令啟動和關閉linux系統防火牆。如果你不想讓計算機重啟在生效的話可以用「service」命令。當我們需要開啟防火牆的話輸入「service iptables start」，如需要關閉防火牆的話那就是將start替換成stop即可。當然執行service命令的話如果電腦被重啟，之後對防火牆的設置還是恢復到初始狀態。所有對linux系統防火牆設置的信息參數全部會丟失。 以上只是介紹了關於linux防火牆的開啟及關閉。如果要在防火牆上面設置某些埠的開關命令的話，可以通過找到修改編輯/etc/sysconfig/iptables文件。說到修改防火牆的參數的話所涉及到的知識點就很多了，小編就不在做具體介紹了。

1 Iptables -F

Iptables -X

Iptables -Z

2 Iptables -t filter -A INPUT –p tcp –dport 22 -s 10.0.0.0/24 -j ACCEPT 讓自己人通過

Iptables -t filter -A INPUT –i lo –j ACCEPT 讓自己的回環介面通過

Iptables -t filter -A INPUT –o lo –j ACCEPT

Iptables -t filter -A OUTPUT –o lo –j ACCEPT

3 默認規則

Iptables -P INPUT DROP 進阻止 所有input規則中最後匹配

Iptables -P OUTPUT ACCEPT 出同意 所有output規則中最後匹配

Iptables -P FORWORD DROP 轉發禁止 所有forword規則中最後匹配

4 單獨配些允許自己人進入的IP

5 配置允許外網訪問埠

Iptables -t filter -A INPUT –p tcp –dport 80 -j ACCEPT

Iptables -t filter –A INPUT –p icmp –icmp-type 8 –j ACCEPT 如果想讓外面的人ping同，加該行

如果有ftp協議，加下面兩行

Iptables -t filter –A INPUT –m state ESTABLISHED,RELATED –j ACCEPT

Iptables -t filter –A OUTPUT –m state ESTABLISHED,RELATED –j ACCEPT

6 保存

/etc/init.d/iptables save

拓展知識：
linux防火牆設置

方法如下：
1、使用工具，鏈接Linux系統。
2、輸入用戶名，和密碼，連接到伺服器。
3、連接伺服器後，輸入語句「service iptables status」，回車，會顯示防火牆狀態。
4、輸入語句「chkconfig iptables on」，可以開啟防火牆。或者使用語句「chkconfig iptables off」，關閉防火牆，需要重啟後生效。
5、如果想要即可生效，可以使用語句「service iptables start」開啟防火牆，或者語句「service iptables stop」關閉，關閉或者開啟防火牆後，查詢防火牆狀態，可以看到相應的變化

⑥ linux運維之iptables的一些操作（參考大神的）

1.安裝iptables管理命令

2.載入防火牆的內核模塊

3.查看已載入的模塊

4.啟動防火牆

首先停止firewalld

開啟iptables

1.查看防火牆規則

2.清除防火牆規則

3.添加防火牆規則

4.網路連接狀態

5.刪除某個規則

1.禁止某個埠訪問

2.規則解釋：

3.禁止除跳板機以外的IP訪問

4.匹配埠范圍

 5. 匹配ICMP類型

6.一些操作

1、封掉10.0.0.7

2、讓10.0.0.7和SSH客戶端（10.0.0.1）伺服器可以Ping，其它的不能Ping

3、封掉3306埠

1.從上往下依次匹配

2.一但匹配上,就不在往下匹配了

3.默認規則,默認的情況,默認規則是放行所有

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

iptables A INPUT -p tcp -m state --dport 22 -j DROP

禁止一個數據包:

tcp協議

訪問的埠是22

禁止源地址是10.0.0.7的主機訪問22埠

禁止源地址是10.0.0.7的主機訪問任何埠

禁止源地址是10.0.0.8的主機訪問80埠

禁止除了10.0.0.7以外的地址訪問80埠

2條規則沖突,會以誰先誰為准

禁止10.0.0.7訪問22和80埠

禁止10.0.0.7訪問22到100之間的所有埠

禁止所有主機ping

放行10.0.0.7可以ping

只允許10.0.0.7可以ping

等同於上一條,優化版,只要不是10.0.0.7就不允許ping

優先順序:

匹配頻次最高的條件放前面