linux打开允许访问外网的端口
在LINUX上,以下命令可以打开允许外部访问的网络端口:
显示端口状态
1.netstat -ntpl
2 .清除2.iptables -F预设表过滤器中所有规则链的规则
3.iptables -X清除缺省表过滤器中用户定义链的规则
4.IPTABLES -L -n查看本机iptables的相关设定情况
【远程连接规则不可用。 注意】
/etc/init.d/iptables status
5./etc/RC.d/init.d/iptables save
6./etc/RC.d/init.d/iptables restart
初始化
7 .接受/放弃
iptables-p输入滴
iptables-p输出滴滴
iptables-p前锋drop
上面的意思是,如果超出了IPTABLES的过滤器正反两个链规则(INPUT,FORWARD ),那么这两个规则中没有的包将如何处理,那就是DROP。 应该说这样配置是安全的。 必须控制流入数据包
对于OUTPUT链,也就是流出的包,没有太多限制
ACCEPT,也就是说,规则里没有的包怎么办? 那是通过
可以看出,INPUT、FORWARD这两个链采用了允许哪个数据包通过,OUTPUT链不允许哪个数据包通过。
这样设定是合理的。 当然,也可以DROP所有三条链,但我认为没有必要这样做。 另外,写的规则会增加。 但是,如果只想要有限的几个规则,那就是只制作WEB服务器。 还是说,我们建议DROP所有三条链。
注:如果你是远程SSH登录,幸福的睫毛膏应该会在你输入第一条命令回车时掉下来。 因为我没有设定任何规则。
重复步骤5、6,确认结果iptables -L -n
8 .添加规则
eg. ssh端口
iptables-a输入- ptcp-- dport 22-j接受
iptables-a output-ptcp---- sport 22-j
接受
(注:这一规则将输出
设置为DROP的人需要写这个。 看到很多人写这个规则,就永远也SSH不了。 远程,可以吗?
其他端口也一样,打开web服务并在OUTPUT设置为DROP时添加链
重复步骤5、6,确认结果iptables -L -n
网络服务
iptables-a输入- ptcp-- dport 80-j接受
iptables-a output-ptcp-- sport 80-j accept
mysql
iptables-a输入- ptcp-- dport 3306-j accept
iptables-a output-ptcp---- sport 3306-j accept
svn
iptables-a input-ptcp---- dport 3690-j accept
iptables-a output-ptcp---- sport 3690-j accept
机械加工
iptables-a input-ptcp---- dport 11211-j accept
iptables-a output-ptcp---- sport 11211-j accept
蒙哥数据库
iptables-a输入- ptcp---- dport 27017-j accept
iptables-a output-ptcp---- sport 27017-j accept
萍萍
iptables-a input-pudp---- sport 53-j accept
iptables-a output-pudp-- dport 53-j accept
iptables-a输入-泵--dport 53-j accept
iptables-a output-pudp---- sport 53-j accept
iptables-a输出- pic MP-j接受(对于输入
DOP )
iptables -A INPUT -p icmp -j ACCEPT
(如果INPUT设置为DROP )
罗奥普巴克! (否则会出现DNS无法正常关闭等问题。)
iptables-a输入- ILO-pall-j接受(对于输入
DOP )
iptables-a输出- olo-pall-j accept (对于输出
DOP )
如果未打开ping,loopback,则无法连接数据库域名方法
正式服务端口开发
80,22,3690
副正式服装
80、22、3690、27017
测试服
80、22、3690、3306、27017
9 .直接编辑配置文件
vi /etc/sysconfig/iptables
这里很多人会想到/etc/rc.d/init.d/iptables save命令,但如果你这么做了,刚才的修改将会徒劳无功。
具体方法是:
要仅修改和启用/etc/sysconfig/iptables,必须在修改后先修改服务iptables
在调用restart、/etc/rc.d/init.d/iptables save之前,
/etc/rc.d/init.d/iptables
save将在iptables服务启动时重新加载。 如果在重新启动之前直接调用/etc/rc.d/init.d/iptables
伊夫,那你呢
请注意,的/etc/sysconfig/iptables配置将回滚到上次启动服务的配置。
备份成功:
# generatedbyiptables-savev1.4.7onsunmay 3
10:37:14 2015
*过滤器
:INPUT DROP [0:0]
:前锋drop [ 0:0 ]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j
接受
-A INPUT -p tcp -m tcp --dport 80 -j
接受
-A INPUT -p tcp -m tcp --dport 3306 -j
接受
-A INPUT -p tcp -m tcp --dport 3690 -j
接受
- a输入- ptcp-mtcp-- dport 27017-j
接受
- a输入- p UDP-m UDP-- sport 53-j
接受
- a输入- p UDP-m UDP-- dport 53-j
接受
- a输入- p icmp-j接受
- a输入- I lo-j accept
- a输入- mstate-- state established-j
接受
- a输入- pic MP-mic MP---- icmp-type8- j
接受
-A OUTPUT -p tcp -m tcp --sport 22 -j
接受
- a output-ptcp-mtcp-- sport 3306-j
接受
- a output-ptcp-mtcp-- sport 3690-j
接受
- a输出- ptcp-mtcp-- sport 27017-j
接受
-A OUTPUT -p tcp -m tcp --dport 80 -j
接受
- a输出UDP-p UDP-m UDP-- dport 53-j
接受
- a输出UDP-p UDP-m UDP-- sport 53-j
接受
- a输出- p icmp-j accept
-A OUTPUT -o lo -j ACCEPT
命令式
# completedonsunmay 3103360373360142015