firewalld开放端口命令

❶ CentOS开放端口

方式1：

1、开启防火墙 

    systemctl start firewalld

2、开放指定端口

      firewall-cmd --zone=public --add-port=1935/tcp --permanent

 命令含义：

--zone #作用域

--add-port=1935/tcp  #添加端口，格式为：端口/通讯协议

--permanent  #永久生效，没有此参数重启后失效

3、重启防火墙

      firewall-cmd --reload

4、查看正樱端口号

netstat -ntlp   //查看当前所有tcp端口·

netstat -ntulp |grep 1935   //查看所有1935端口使用情况·

方式山圆2：

#开逗清塌放端口:8080

/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

方式3：

-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

service iptables restart

❷ firewall-cmd命令详解

# 安装firewalld

yum install firewalld firewall-config

systemctl start  firewalld # 启动

systemctl status firewalld # 或者 firewall-cmd --state 查看状态

systemctl disable firewalld # 停止

systemctl stop firewalld  # 禁用

# 你也可以关闭目前还不熟悉的FirewallD防火墙，而使用iptables，命令如下：

yum install iptables-services

systemctl start iptables

systemctl enable iptables

配置

```

firewall-cmd --version  # 查看版本

firewall-cmd --help    # 查看帮助

# 查看设置升扰隐：

firewall-cmd --state  # 显示状态

firewall-cmd --get-active-zones  # 查看区域信息

firewall-cmd --get-zone-of-interface=eth0  # 查看指定接口所属区域

firewall-cmd --panic-on  # 拒绝所有包

firewall-cmd --panic-off  # 取消拒绝状态

firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则

firewall-cmd --complete-reload

# 两者的区别就是第一个无需断开连接，就是firewalld特性之一动态添加规则，第二个需吵厅要断开连接，类似重启服务

# 将接口添加到区域，默认接口都在public

firewall-cmd --zone=public --add-interface=eth0

# 永久生效再加上李圆 --permanent 然后reload防火墙

# 设置默认接口区域，立即生效无需重启

firewall-cmd --set-default-zone=public

# 查看所有打开的端口：

firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域：

firewall-cmd --zone=dmz --add-port=8080/tcp

# 打开一个服务，类似于将端口可视化，服务需要在配置文件中添加，/etc/firewalld 目录下有services文件夹，这个不详细说了，详情参考文档

firewall-cmd --zone=work --add-service=smtp

# 移除服务

firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表

firewall-cmd --get-zones

# 设置为家庭区域

firewall-cmd --set-default-zone=home

# 查看当前区域

firewall-cmd --get-active-zones

# 设置当前区域的接口

firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域（public）

firewall-cmd --zone=public --list-all

# 临时修改网络接口（enp0s3）为内部区域（internal）

firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域（internal）

firewall-cmd --permanent --zone=internal --change-interface=enp03s

服务管理

# 显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务，可以使用如下命令查看：

firewall-cmd --get-services

# 允许SSH服务通过

firewall-cmd --enable service=ssh

# 禁止SSH服务通过

firewall-cmd --disable service=ssh

# 打开TCP的8080端口

firewall-cmd --enable ports=8080/tcp

# 临时允许Samba服务通过600秒

firewall-cmd --enable service=samba --timeout=600

# 显示当前服务

firewall-cmd --list-services

# 添加HTTP服务到内部区域（internal）

firewall-cmd --permanent --zone=internal --add-service=http

firewall-cmd --reload    # 在不改变状态的条件下重新加载防火墙

端口管理

# 打开443/TCP端口

firewall-cmd --add-port=443/tcp

# 永久打开3690/TCP端口

firewall-cmd --permanent --add-port=3690/tcp

# 永久打开端口好像需要reload一下，临时打开好像不用，如果用了reload临时打开的端口就失效了

firewall-cmd --reload

# 查看防火墙，添加的端口也可以看到

firewall-cmd --list-all

控制端口/服务

可以通过两种方式控制端口的开放，一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口，但是还是不能通过端口号来关闭，也就是说通过指定服务名开放的就要通过指定服务名关闭；通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议，tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了，可以让防火墙真正的生效。

firewall-cmd --add-service=mysql # 开放mysql端口

firewall-cmd --remove-service=http      # 阻止http端口

firewall-cmd --list-services            # 查看开放的服务

firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306

firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306

firewall-cmd --add-port=233/udp        # 开放通过udp访问233

firewall-cmd --list-ports              # 查看开放的端口

伪装IP

firewall-cmd --query-masquerade# 检查是否允许伪装IP

firewall-cmd --add-masquerade# 允许防火墙伪装IP

firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时，将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机，如果指定了 ip 却没指定端口，则默认使用来源端口。 如果配置好端口转发之后不能用，可以检查下面两个问题：

比如我将 80 端口转发至 8080 端口，首先检查本地的 80 端口和目标的 8080 端口是否开放监听了

其次检查是否允许伪装 IP，没允许的话要开启伪装 IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080# 将80端口的流量转发至8080

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1# 将80端口的流量转发至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080# 将80端口的流量转发至192.168.0.1的8080端口

当我们想把某个端口隐藏起来的时候，就可以在防火墙上阻止那个端口访问，然后再开一个不规则的端口，之后配置防火墙的端口转发，将流量转发过去。

端口转发还可以做流量分发，一个防火墙拖着好多台运行着不同服务的机器，然后用防火墙将不同端口的流量转发至不同机器。

转自：

https://www.cnblogs.com/tkzc2013/p/11319625.html

❸ 安点科技防火墙命令

1、firewalld的基本使用
启动： systemctl start firewalld
查看状态： systemctl status firewalld
禁用，禁止开机启动： systemctl disable firewalld
停止运行： systemctl stop firewalld

2.配置firewalld-cmd
查看版本： firewall-cmd --version
查看帮助： firewall-cmd --help
显示状态： firewall-cmd --state
查看所有打开的端口： firewall-cmd --zone=public --list-ports
更新防火墙规则： firewall-cmd --reload
更新防火墙规则，重启服务： firewall-cmd --completely-reload
查看已激活的Zone信息: firewall-cmd --get-active-zones
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
拒绝所有包：firewall-cmd --panic-on
取消拒绝状态： firewall-cmd --panic-off
查看是否拒绝： firewall-cmd --query-panic

3.信任级别，通过Zone的值指定
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接

4.firewall开启和关闭端口
以下都是指在public的zone下的操作，不同的Zone只要改变Zone后面的值就可以
添加：
firewall-cmd --zone=public --add-port=80/tcp --permanent （--permanent永久生效，没有此参数重态斗晌启后失效）
重新载入：销埋
firewall-cmd --reload
查看：
firewall-cmd --zone=public --query-port=80/tcp
删除：
firewall-cmd --zone=public --remove-port=80/tcp --permanent

5.管理服务
以smtp服务为例， 添加到work zone
添加：
firewall-cmd --zone=work --add-service=smtp
查看：
firewall-cmd --zone=work --query-service=smtp
删除：
firewall-cmd --zone=work --remove-service=smtp

5.配置 IP 地址伪装
查看：
firewall-cmd --zone=external --query-masquerade
打开：
firewall-cmd --zone=external --add-masquerade
关闭：
firewall-cmd --zone=external --remove-masquerade

6.端口转发
打开端口转发，首先需要打开IP地址伪装
firewall-cmd --zone=external --add-masquerade

转发 tcp 22 端口至 3753：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
转发端口数据至另一个IP的相同端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
转发端口数据至帆锋另一个IP的 3753 端口：
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=3753:toaddr=192.168.1.112

6.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。
启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed

❹ linux怎么打开5005端口和80端口

ufw 是Ubuntu版本的 默认都是开启的
其他版本没有ufw防火墙

❺ CentOS 7 中firewall-cmd命令

如果你的系统上没有安装使用命令安装
安装firewalld 防火墙 yum install firewalld

开陪吵余启服务 systemctl start firewalld.service

关闭防火墙 systemctl stop firewalld.service

开机自动启动 systemctl enable firewalld.service

关闭开机制动启动 systemctl disable firewalld.service

查看状态 firewall-cmd --state //running 表示运行

获取活动的区域芦滚 firewall-cmd --get-active-zones
这条命令将用以下格式输出每个区域所含接口：
<zone1>: <interface1> <interface2> ..<zone2>: <interface3> ..

获取所有支持的服务 firewall-cmd --get-service
在不改变状态的条件下重新加载防火墙： firewall-cmd --reload
启用某个服碰启务

开启某个端口

使用命令加载设置 firewall-cmd --reload

查看开启的端口和服务

设置某个ip 访问某个服务

删除上面设置的规则

检查设定是否生效

执行命令 firewall-cmd --list-all
显示：

查询服务的启动状态

自行加入要开放的 Port

❻ 防火墙怎么开放端口

问题一：win7防火墙怎么设定开放端口 控制面板\系统和安全\Windows 防火墙, 点击左边的高级设置，里面应当是你想要的
然后再在高级设置里面新建规则啊

问题二：怎么设置防火墙允许端口 控制面板-〉防火墙-〉例外-〉添加端口

问题三：如何在防火墙上设置禁止端口 只要厂没允许打开的都是默认为禁止，你不用刻意去禁止，只要你不开放端口就行，放火墙有时会提示什么应用程序访问网络并通过什么端口，只要你不点允许就好了，端口就不会被打开
要不然你可以用TCP－IP筛选端口：
1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。
2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选亏猛”的复选框，然后把左边“TCP端口”上的“只允许”选上

问题四：windows防火墙怎么打开端口 依次点击“开始”―“控制面板”―“windows防火墙”
先点击“打开或关闭windows防火墙”将windows防火墙打开
点击“高级设置”
设置入站规则（入站规则：别人电脑访问自己电脑；出站规则：自己电脑访问别人电脑），点击“新建规则”
点选“端口”，单击 “下一步”
选择相应的协议，如添加8080端口，我们选择TCP，在我写本地端口处输入8080
选择“允许连接”，点击“下一步”
勾选“域”，“专用”，“公司”，点击“下一步”
输入端口名称，点“完成”即可

问题五：Win10系统防火墙中怎销闭桥样开放端口 操态贺作步骤:
1、WIN+X调出系统配置菜单，选择控制面板；
2、选择windows 防火墙；
3、点击左侧的“高级设置”选项；
4、设置入站规则（入站规则：别人电脑访问自己电脑；出站规则：自己电脑访问别人电脑），点击“新建规则”，点选“端口”，单击 “下一步”；
5、选择相应的协议，如添加8080端口，我们选择TCP，在我写本地端口处输入8080；
6、选择“允许连接”，点击“下一步”；
7、勾选“域”，“专用”，“公司”，点击“下一步”；
8、输入端口名称，点“完成”即可。
9、具体效果如下，已经在防火墙里开放单独端口。
通过上面的操作，我们就可以为一些特殊软件在端口需要进行开放端口！而不会因此被限制了！

问题六：怎样打开防火墙屏蔽的端口？ BT下载加速之 “穿墙术”：BT下载现已成为更多宽带用户重要的下载手段之一，但为什么许多有公网IP的用户在用BT下载时速度还那么慢呢？10K左右，还比不上FTP下载。其实，一个重要的原因是用户的机器上安装了防火墙，防火墙阻挡了来自外网的连接，别的种子不能主动地连接到你的机器上，当然下载速度不会快起来的。在安装有防火墙的机器要想BT下载速度加快的话，就要使BT下载软件穿透防火墙的阻隔，来一个红杏出墙。下面就给大家介绍一下怎样使BT练就有“穿墙术”。
下面在各种常见防火墙中的设置均是以风播1.0.0.7为例。风播使用的默认监听端口是6699，我们要设置防火墙对6699的端口不进行拦截。当然在软件中我们是可以自己指定其监听端口的。
一、如果是XP自带防火墙
桌面右下解图标（两个小电视状）上点击右键，选择“更改windows防火墙设置”，打开例外选项，查看funpaleyr有没有被勾选注意啦：请去掉常规选项里“不允许例外”的勾选

问题七：liunx怎么在防火墙上开放端口 ptables -A INPUT -i eth0 -p TCP --dport 59001 -j ACCEPT
-----
视实际情况
一、查看哪些端口被打开 netstat -anp
二、关闭端口号:iptables -A INPUT -p tcp --drop 端口号-j DROP
iptables -A OUTPUT -p tcp --dport 端口号-j DROP
三、打开端口号：iptables -A INPUT -ptcp --dport 端口号-j ACCEPT
四、以下是linux打开端口命令的使用方法。
nc -lp 23 &(打开23端口，即telnet)
netstat -an | grep 23 (查看是否打开23端口)
五、linux打开端口命令每一个打开的端口，都需要有相应的监听程序才可以

问题八：linux防火墙怎么设置单独开放一个端口 iptables -A INPUT -i eth0 -p TCP --dport 59001 -j ACCEPT
贰----
视实际情况

问题九：windows服务器怎么查看防火墙开启端口 Windows2008R2系统防火墙在，控制面板里面去找（还可以到服务器管理器里面找)
点击进入08防火墙设置选项卡，注意一下【高级设置】里面去设置
如图，在防火墙设置右上方，有【创建规则】
入站规则
进入规则向导页面，如图选择【端口】类型
本案例以开放webmail自定义端口为例，选择特定端口如8008
操作设置
然后在操作设置里面，选择【允许连接】
安全域选择
接下来就是重点了，需要允许应用到的规则域区域。建议全部选择，
然后是规则的名称，可以任意取名。建议加上备注，比如XX服务器XX应用
检查配置(出站和入站的区别就是端口的指向）
设置好之后，如图点击入站规则里面查看。可以看到刚刚的配置设置
出站规则
出站规则设置方法是一样的，注意一下。协议类型，有TCP. UDP 你可以选择所有及 ALL类型
测试端口
设置好服务器防火墙端口开放之后，再内网的还需要在路由器上设置映射。可以通过站长工具在线测试，如图

问题十：防火墙应对网站服务器开放哪些端口 不知道你的防火墙是型号的。 血到教训告诉你。一个80端口足可以黑了你的站。SQL注入也是通过WEB的80端口进行的。他一旦上传了木马。盗取了admin 权限。FTP的权限。就可以对你的服务器进行提权。。
所以要问你硬件防火墙。还有策略是怎么做的。
例如我公司用的netscreen 我用的VIP做的策略。。映射端口80 。同时的策略是禁止外网写入到服务器的。因为公司没有留言。BBS等互动的。所以可以这么做。 如果FTP。我会用到VPN客户端进行。这样就没问题了。
我同学的CISCO 用了其他的策略。限定访问的数据和端口。
――――――――――――――――
如果能够帮助你，麻烦采纳
你的采纳是我答题的动力
――谢谢你给我的支持！！！

❼ Centos下配置firewalld实现nat路由转发

firewalld介卖禅绍：https://www.cnblogs.com/zqifa/p/linux-firewall-1.html

nat介绍：https://blog.csdn.net/u014023993/article/details/86556126

1. 准备两台虚拟机：nat01, nat02 (centos, 安装时选择安装类型，nat02需要有浏览器)

2. 转发用虚拟机[nat01]准备两张网卡，一张网卡与要测试环境网络互通，一张网卡与局域网虚拟机[nat02]网络互通

3. 局域网虚拟机[nat02]与转发用虚拟机网络互通，相同网段，且网关为[nat01]ip地址（修改ifcfg-eth0文件后重启网络即可）

    nat01:33.33.33.35  nat02:33.33.33.52

4. 配置转发用虚拟机[nat01]：

 step1：内核参数文件sysctl.conf配置ip转发

    vi /etc/sysctl.conf

    在文本内容中添加：net.ipv4.ip_forward = 1

    保存文件后，输入命令sysctl -p生效

step2：开启firewalld.service 

    systemctl start firewalld.service #开启腊配信

    systemctl enable firewalld.service #开机自启动

step3：防火墙开启伪装IP功能

    firewall-cmd --add-masquerade --permanent#允许防火墙伪轮轮装IP

    firewall-cmd --query-masquerade #检查是否允许伪装IP

    firewall-cmd --reload #重载配置文件生效

step4：开放端口：

    firewall-cmd --zone=public --add-port=10020/tcp --permanent #开放通过tcp访问10020

    firewall-cmd --list-ports #查看开放端口

    firewall-cmd --reload #重载配置文件生效

step5：端口转发

    firewall-cmd --zone=public--add-forward-port=port=10020:proto=tcp:toport=443:toaddr=192.25.1.2 --permanent

    # 将10020端口的流量转发到192.25.1.2:443

    firewall-cmd --reload

    ps：zone=external 针对伪装进入连接，一般用于路由转发

        --permanent 永久生效

        192.25.1.2:443 修改为需要访问环境的IP和开放端口

5. 测试

    登录[nat02]虚拟机，进入ssh终端，wget 33.33.33.35:10020

    进入浏览器，访问：33.33.33.35:10020   --》自动跳转到环境地址，访问正常

    ps：若需要访问地址是https，则在浏览器中输入：https://33.33.33.35:10020