まず、上の理由
ローカルサーバーのファイアウォールポリシーが発生したため、我々は、SSHのリモートサーバーに接続できるようにしたかったので、理由はほとんどのリモート(SSH)接続は、Linuxサーバ上に存在しない、2つの方法があります。
- ファイアウォールポリシーの変更
- ファイアウォールをオフにします
第二に、ファイアウォールサービス紹介
1.CentOS7一般的なファイアウォール:iptablesのとfirewalld
2.しかしなお:iptablesのファイアウォールfirewalldない本当、彼らは唯一のファイアウォール、ファイアウォールポリシーの管理ツールを定義するために使用され、サービスです。
3.Centos 7 firewalldがデフォルトで使用されるが、実際にはクライアントツールとfirewalldだけのシンプルな構成ルールをiptablesの、本当にファイアウォールの役割を果たしている(フィルタリング/転送およびその他の機能)Aカーネルのnetfilterモジュールです。あなたはiptablesのを使用する必要がある場合は、iptablesサービスをインストールする必要があります。
yumをインストールiptables- サービス systemctlスタートiptablesの #ファイアウォールをオンには、 iptablesの有効systemctl #設定は、ファイアウォール起動 systemctl STOPがiptablesの #ファイアウォールターンオフを systemctl無効iptablesの #設定が禁止ブートファイアウォールを
そして、異なる4.firewalldをiptablesの
- firewalld地域やサービスの利用ではなく、チェーン・ルール。
- 彼らはルールを変更した後に有効になる前にfirewalld単一のルールはそのような必要性のiptablesなく、動的に変更することができ、すべてを更新する必要があります。
様々なXML設定ファイルストレージサービスiptablesの中に/ etc /のsysconfig / iptablesには/ usr / libに/ firewalld /と/ etc / firewalld /で、iptablesのの使用は場合毎に単一の変更手段に記憶されなくFirewallD構成すべての古いルールを削除し、すべての新しいルールを読んでから、/ etc / sysconfig / iptables内、firewalldの使用が、新しいルールを作成しません。単に異なるルールを実行します。したがってFirewallDは、実行時に現在の設定を失うことなく、設定を変更することができます。
FirewallD設定三つの主要な方法があります。
- ファイアウォール設定
- ファイアウォール-CMD
- 直接編集xmlファイル
ファイアウォール設定は、グラフィカルなツールである場合、ファイアウォール-cmdはコマンドラインツールである、とLinuxは、誰もがより多くの操作のコマンドラインモードを使用することに慣れするために、あるので、ファイアウォール設定(デスクトップバージョンに適しています)
図5は示して
第三に、操作の具体的な例
私のLinuxサーバがCentOS7バージョンでリリース。
1、ファイアウォールポリシーを変更
SSHリモートポートが22であるので、目的は22個のポートを開くには、ファイアウォールポリシーを変更します。
ここでは、ポートは22まで開いていなかったので、xshellが接続されていない、直接ではなく、直接xshell接続よりも、動作するサーバにログインするためにクライアントを修正するために指し、
1.ifconfig #ビューIPカード情報は、どのIPアドレスにはeth0、eth1の対応を覚えて ルートを@ aliyunzbj / tmpのO ifconfigコマンド はeth0:フラグ = 2256 <UP、BROADCAST、RUNNING、マルチキャスト> MTU 1500 のinet 192.168.10.53ネットマスク255.255.255.0ブロードキャスト192.168.10.255 ... eth1の:フラグ = 2257 <UP、BROADCAST、RUNNING、MULTICAST> 1500 MTU INET 192.168.26.66ネットマスク255.255.255.0ブロードキャスト192.168.26.255 ... LO:フラグ = 82 <UP、ループバック、RUNNING> MTU 65536 のinet 127.0.0.1 255.255.255.0ネットマスク ... 2 。表示現在のiptablesのファイアウォールの設定 ルート@ aliyunzbj / tmpのO iptables-保存 ... -A LO -i INPUT -J ACCEPT -AをINPUT -i eth0の-j MANAGE-INPUTの #を入力eth0のカードの代わりにMANAGE-ファイアウォールポリシー -A INPUT -i eth1の-j USER-INPUT #の代理としてのUSER-INPUTファイアウォールポリシーのeth1カード ... #ここにあなたが22個のポートを開いているMANAGE-INPUT eth0のネットワークカードを見ることができますが、次の戦略は、22個のポートを開くためにユーザ入力(eth1の)見ていない -p TCP-INPUTを管理-Aを- NEW -m TCP状態--state M --dport 22 -Jは、ACCEPT ... 3。eth1の22 LANポートを追加するために、 #は上記ポリシーに直接コピーすることができ、管理、入力ユーザ入力はまた、eth0の場合(変更することができますオンにされていない、そして唯一の)システムを再構成するために管理-INPUTコマンドユーザ入力を変更する必要がある ルートを@ aliyunzbj / tmpのO TCP TCP -m -m州--state NEW -pのiptables -A INPUT USER- - 22はDPORT ACCEPT -j 4。再び表示ポリシー aliyunzbjルート@ / tmpのO iptables- 保存 ... - -A LO -i INPUT J ACCEPT -AをINPUT -i eth0の-j MANAGE入力 #INPUT eth0のカードの代わりにMANAGE-ファイアウォールポリシー の-A INPUT -i eth1の-j INPUT-USERの #INPUTのeth1のカードの代わりにUSER-ファイアウォールポリシー ... -A INPUT -p tcpの管理-mステート--state NEW -m tcpの--dport 22 - JはACCEPT USERをTCP -p -A-INPUTを-状態TCP --state NEW -mメートル--dport 22は- Jは、ACCEPT ...
上記5.にも直接、/ etc / sysconfig / iptables内、リスタートサービスのiptablesのポリシーに追加追加できます
2、ファイアウォールをオフにします
最も直接的な方法は、ファイアウォールポリシーから直接です
1 。ファイアウォールの状態を確認 systemctlステータスiptables.service 2 。ファイアウォールがオンになっている場合は、単に近い systemctl停止iptables.serviceを