Linux防火墙的使用与配置 访问Linux中的Tomcat,打开8080和80端口

我使用的是RedHat7 普通的该iptables文件 不生效。iptables命令对RHEL6及以下的版本有效。

访问Linux中的Tomcat,打开8080和80端口

命令:

区域添加端口:

firewall-cmd --add-port=8080/tcp --zone=public --permanent //添加8080端口

firewall-cmd --add-port=80/tcp --zone=public --permanent //添加80端口

firewall-cmd --reload //刷新防火墙使设置生效

--相关命令

firewall-cmd --list-all-zones //查看所有域开放的端口

firewall-cmd --list-all //查看当前域开放端口



iptables方式设置防火墙规则

在wmware中安装linux后安装好数据库,JDK及tomcat后启动服务,虚拟机中可以访问,但是主机却无法访问,但是同时主机和虚拟机之间可以ping的通,网上查阅资料后,解决方法是关闭虚拟机中的防火墙服务。桌面--管理--安全级别与防火墙,将防火墙设置为:disable即可。或用root登录后,执行
service iptables stop --停止
service iptables start --启动

但是在实际应用中,关闭防火墙降低的服务器的安全性,不能关闭防火墙。
如果在宿主机的dos窗口下telnet虚拟机的8080窗口,会失败,由此可以确定是虚拟机的8080窗口有问题,应该是被防火墙堵住了。因此修改防火墙设置即可。

修改Linux系统防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,如果要开放哪个端口,在里面添加一条
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
就可以了,其中 8080 是要开放的端口号,然后重新启动linux的防火墙服务,
/etc/init.d/iptables restart。


--在命令行添加外网端口访问

linux开启允许外网访问的端口

LINUX开启允许对外访问的网络端口

LINUX通过下面的命令可以开启允许对外访问的网络端口:

/sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT #开启8000端口

/etc/rc.d/init.d/iptables save #保存配置

/etc/rc.d/init.d/iptables restart #重启服务

查看端口是否已经开放

/etc/init.d/iptables status



RHCE7——防火墙的使用与配置

一、RHEL7中的防火墙类型

以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务:

firewalld:默认

iptables:RHEL6使用

ip6tables

ebtables

二、防火墙的配置方式

1、图形化配置

使用firewall-config

RHCE7认证学习笔记32——防火墙的使用与配置

允许某项服务只需打上勾即可

2、命令行

三、防火墙的区域与配置

查看区域:

[root@linuxidc ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work

查看默认区域

[root@linuxidc ~]# firewall-cmd --get-default-zone

public

每个区域配置多个服务,对应多个接口

[root@linuxidc ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp open pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

查看允许的服务

[root@linuxidc ~]# firewall-cmd --list-services --zone=public

dhcpv6-client ssh

某些服务,对应多个端口,在防火墙允许某项服务则可能意味着允许该服务对应的多个端口:

给区域添加服务:

[root@linuxidc ~]# firewall-cmd --add-service=ftp --zone=public --permanent

删除区域服务:

[root@linuxidc ~]# firewall-cmd --remove-service=ftp --zone=public

查看某项服务是否被允许:

[root@linuxidc ~]# firewall-cmd --query-service=http --zone=public

no

区域添加端口:

[root@linuxidc ~]# firewall-cmd --add-port=8000/tcp --zone=public --permanent

删除端口:

1 firewall-cmd --remove-port=8000/tcp --zone=public

查看端口是否被允许:

[root@linuxidc ~]# firewall-cmd --query-port=8000/tcp --zone=public

一个区域可以绑定多个网卡,一个网卡只能绑定一个区域:

查看网卡和区域绑定:

[root@linuxidc ~]# firewall-cmd --get-zone-of-interface=ens33

区域添加端口:

[root@linuxidc ~]# firewall-cmd --add-interface=ens34 --zone=public --permanent

区域删除网卡:

[root@linuxidc ~]# firewall-cmd --remove-interface=ens34 --zone=public --permanent

修改网卡的区域:

[root@linuxidc html]# firewall-cmd --change-interface=ens33 --zone=public --permanent

trusted区域的所有服务都被允许:

网卡如果不属于任何区域,那么来自该接口的所有数据包将使用默认的区域规则:

区域添加来源地址,如果接口不属于某个区域,那么来自于该接口的流量如果匹配来源地址,那么流量将从来源的区域通过:

查看某个区域的所有配置信息:

[root@linuxidc html]# firewall-cmd --list-all

public (default, active)

interfaces: br1 ens34 ens37 virbr0

sources:

services: dhcpv6-client ssh

ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

所有的配置操作如果想永久生效,则需要加--permanent选项,否则配置只会在当前运行环境生效

三、firewall对ICMP的过滤

firewall可以对以下类型的ICMP进行过滤:

RHCE7认证学习笔记32——防火墙的使用与配置

firewall对ICMP的过滤存在BUG,对RHEL6及windows的机器均不能很好的支持,只能对RHEL7有效

四、富规则rich rule

富规则可以对服务端口协议进行更详细的配置:

RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置富规则:

查看富规则:

[root@linuxidc ~]# firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.35.89.0/24" service name="http" accept

[root@linuxidc ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

[root@linuxidc ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent

删除富规则

[root@linuxidc ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept'

五、端口转发

图形化配置:

本地转发

RHCE7认证学习笔记32——防火墙的使用与配置

转发到其他主机:

RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置:

[root@linuxidc log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=

forward-ports: port=8000:proto=tcp:toport=80:toaddr=

port=8080:proto=tcp:toport=80:toaddr=

六、伪装masque

图形化配置很简单,勾上伪装区域即可

RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置也很简单:

[root@linuxidc log]# firewall-cmd --add-masquerade

启用伪装功能的主机同时也需要开启转发服务:

[root@linuxidc log]# echo 1 > /proc/sys/net/ipv4/ip_forward

富规则中使用伪装功能可以更精确详细的限制:

[root@linuxidc log]# firewall-cmd --add-rich-rule '

rule family=ipv4 source address=10.10.10.2/24 masquerade'

rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"



你可能感兴趣的:(Linux防火墙的使用与配置 访问Linux中的Tomcat,打开8080和80端口)