Linux防火墻端口開放方法介紹

　　防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。在linux系統(tǒng)中安裝一些軟件時有時遇到端口被占用的情況，本文為大家介紹了遇到這種情況我們應(yīng)該怎么處理

　　方法步驟

　　在安裝nginx，mysql，tomcat等等服務(wù)的時候，我們會遇到需要使用的端口莫名其妙被占用，下面介紹如何解決這類問題。

　　說到端口，還不得不提到防火墻，本文還會簡單介紹如何配置防火墻開發(fā)端口。

　　Linux查看端口情況的各種方法

　　所有端口的映射關(guān)系在 /etc/services 文件中有

　　Linux端口簡單介紹，端口編號從0-65536，各編號端的用途如下：

　　0-1023：公認(rèn)端口，與常見服務(wù)綁定(FTP，SSH)

　　1024-49151：注冊端口，用于和一些服務(wù)綁定

　　49152-65535：動態(tài)或私有端口，可用于任意網(wǎng)絡(luò)連接

　　端口分為TCP和UDP傳輸協(xié)議。

　　Linux查看端口狀態(tài)命令

　　可以有下面的命令查看端口情況，點擊命令可以調(diào)整到每個命令的使用詳情：

　　nmap命令，端口掃描使用

　　netstat檢測開發(fā)端口

　　lsof檢查端口描述符

　　# 查看綁定本機的端口

　　nmap 127.0.0.1

　　# 檢查3306端口

　　netstat -anlp | grep 3306

　　# 檢測3306接口

　　lsof -i:3306

　　linux釋放占用端口解決辦法

　　解決步驟如下：

　　查找占用端口的進(jìn)程

　　殺掉該進(jìn)程

　　使用下面命令即可：

　　# 可以寫成一條命令

　　netstat -anp|grep 8080|awk '{print $7}'|awk -F '/' '{print $1}'|xargs kill -s 9

　　各命令含義如下：

　　netstat -anp 顯示所有網(wǎng)絡(luò)使用情況，并顯示使用程序

　　grep 8080 匹配8080端口的記錄(可能會包含18080)

　　awk '{print $7}' 輸出第7列進(jìn)程，形式如下：18989/nginx

　　awk -F '/' '{print $1}' 截取進(jìn)程PID：18989

　　xargs kill -s 9 使用前一個命令的輸出作為參數(shù)，殺掉該進(jìn)程

　　釋放占用端口分步解決辦法

　　查詢端口是否被占用

　　比如需要查詢8080端口是否占用，可以下面命令

　　netstat -an | grep 8080

　　查詢占用端口的進(jìn)程

　　可以使用lsof命令查看

　　lsof -i:8080

　　也可以使用netstat和grep查看

　　netstat -anp|grep 8080

　　該命令最后一行就是占用8080端口的進(jìn)程PID和名稱。

　　殺掉占用端口的進(jìn)程

　　可以使用kill命令直接殺死上一步中查到的進(jìn)程。

　　kill -9 19664

　　linux防火墻釋放端口

　　Linux防火墻啟動和關(guān)閉

　　下面介紹的防火墻是iptable，對于firewalld并不適用。

　　開啟防火墻(重啟后永久生效)：chkconfig iptables on

　　關(guān)閉防火墻(重啟后永久生效)：chkconfig iptables off

　　開啟防火墻(即時生效，重啟后失效)：service iptables start

　　關(guān)閉防火墻(即時生效，重啟后失效)：service iptables stop

　　重啟防火墻:service iptables restart

　　Linux查看防火墻狀態(tài)

　　可以使用下面命令查看：

　　/etc/init.d/iptables status

　　# 或者簡寫

　　iptables status

　　iptables -L

　　# 也可以直接查看配置文件

　　vim /etc/sysconfig/iptables

　　Linux開放防火墻某個端口

　　比如打開8080端口，可用下面的命令：

　　iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

　　# 還需要重啟服務(wù)

　　service iptables restart

　　# 也可以直接編輯配置文件

　　vim /etc/sysconfig/iptables

　　# 然后在文件結(jié)尾添加一行，下面開發(fā)8080-8181之間的所有端口

　　iptables -A INPUT -p tcp --dport 8080:8181 -j ACCEPT

　　其中

　　–A 參數(shù)就看成是添加一條規(guī)則

　　–p 指定是什么協(xié)議，我們常用的tcp協(xié)議，當(dāng)然也有udp

　　–dport 就是目標(biāo)端口，當(dāng)數(shù)據(jù)從外部進(jìn)入服務(wù)器為目標(biāo)端口

　　–sport 數(shù)據(jù)從服務(wù)器出去，則為數(shù)據(jù)源端口使用

　　–j 指定是 ACCEPT -接收 或者 DROP 不接收

　　補充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內(nèi)置的變動管理流程，因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改，會導(dǎo)致宕機嗎?這是一個相當(dāng)高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團隊的所有成員都必須達(dá)成共識，觀察誰進(jìn)行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

　　二、以最小的權(quán)限安裝所有的訪問規(guī)則。

　　另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會變得權(quán)限過度釋放，因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中，我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達(dá)成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。

Linux防火墻端口開放方法介紹相關(guān)文章：

1.linux如何開放防火墻8080端口

2.linux如何關(guān)閉防火墻

3.Linux關(guān)閉防火墻的方法步驟

4.linux開放端口命令

5.linux怎么查看防火墻是否開啟