centos 端口映射(centos远程桌面软件)

docker 启用多个端口映射命令

Docker可以同时映射多个端口，以实现容器内部服务的外部访问。在运行Docker容器时，可以通过添加"-p"选项来指定端口映射。例如，如下的命令将启动一个名为"telnet_ssh"的容器，它基于CentOS镜像，并启用5000端口映射到容器内的23端口，以及5001端口映射到22端口。

docker run-d-p 5000:23-p 5001:22--name telnet_ssh--privileged=true telnet:centos/usr/sbin/init

这里，"-d"表示以守护进程模式运行，"--privileged=true"则赋予容器管理员权限，允许访问宿主机的网络和资源。"/usr/sbin/init"是启动容器时执行的命令，通常用于初始化容器。通过这种方式，容器外部的用户可以分别通过5000和5001端口访问容器内的23和22端口服务。

求助:centos开放的端口不能访问

首先，你确定你没有弄错端口号？你可以先在centos本机上访问端口号试试，看看能不能正常访问。

如果能访问，那就有可能是你的centos防火墙没有开放相应的端口号，你设置防火墙让端口号通过就行了。

如果本机都不能访问，那可嫩是你绑定端口的程序没有设置正确，具体就需要进入程序那里设置了。

楼主如果想学习更多Linux系统知识，可以百度《Linux就该这么学》，很不错的一本入门教程。

Linux centos7下ftp默认端口修改后firewalld如何设置

centos 7中防火墙是一个非常的强大的功能了，但对于centos 7中在防火墙中进行了升级了，下面我们一起来详细的看看关于centos 7中防火墙使用方法。

FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反，firewall daemon动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall daemon无法解析由 ip*tables和 ebtables命令行工具添加的防火墙规则。

守护进程通过 D-BUS提供当前激活的防火墙设置信息，也通过 D-BUS接受使用 PolicyKit认证方式做的更改。

“守护进程”

应用程序、守护进程和用户可以通过 D-BUS请求启用一个防火墙特性。特性可以是预定义的防火墙功能，如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。

通过所谓的直接接口，其他的服务(例如 libvirt)能够通过 iptables变元(arguments)和参数(parameters)增加自己的规则。

amanda、ftp、samba和 tftp服务的 netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而，跟踪连接信息很重要，需要列入考虑范围。

静态防火墙(system-config-firewall/lokkit)

使用 system-config-firewall和 lokkit的静态防火墙模型实际上仍然可用并将继续提供，但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。

在软件安装，初次启动或者是首次联网时，将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。

firewall daemon独立于 system-config-firewall，但二者不能同时使用。

使用iptables和ip6tables的静态防火墙规则

如果你想使用自己的 iptables和 ip6tables静态防火墙规则,那么请安装 iptables-services并且禁用 firewalld，启用 iptables和ip6tables:

yum install iptables-services

systemctl mask firewalld.service

systemctl enable iptables.service

systemctl enable ip6tables.service

静态防火墙规则配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables.

注： iptables与 iptables-services软件包不提供与服务配套使用的防火墙规则.这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的.你可以安装并使用 system-config-firewall来创建上述服务需要的规则.为了能使用 system-config-firewall,你必须停止 firewalld.

为服务创建规则并停用 firewalld后，就可以启用 iptables与 ip6tables服务了:

systemctl stop firewalld.service

systemctl start iptables.service

systemctl start ip6tables.service

什么是区域？

网络区域定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。

预定义的服务

服务是端口和/或协议入口的组合。备选内容包括 netfilter助手模块以及 IPv4、IPv6地址。

端口和协议

定义了 tcp或 udp端口，端口可以是一个端口或者端口范围。

ICMP阻塞

可以选择 Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。

伪装

私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。

端口转发

端口可以映射到另一个端口以及/或者其他主机。

哪个区域可用?

由firewalld提供的区域按照从不信任到信任的顺序排序。

丢弃

任何流入网络的包都被丢弃，不作出任何响应。只允许流出的网络连接。

阻塞

任何进入的网络连接都被拒绝，并返回 IPv4的 icmp-host-prohibited报文或者 IPv6的 icmp6-adm-prohibited报文。只允许由该系统初始化的网络连接。

公开

用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。（You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.）

外部

用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。

隔离区（dmz）

用以允许隔离区（dmz）中的电脑有限地被外界网络访问。只接受被选中的连接。

工作

用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

家庭

用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

内部

用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。

受信任的

允许所有网络连接。

我应该选用哪个区域?

例如，公共的 WIFI连接应该主要为不受信任的，家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。

如何配置或者增加区域?

你可以使用任何一种 firewalld配置工具来配置或者增加区域，以及修改配置。工具有例如 firewall-config这样的图形界面工具， firewall-cmd这样的命令行工具，以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。@PREFIX@/lib/firewalld/zones被用于默认和备用配置，/etc/firewalld/zones被用于用户创建和自定义配置文件。

如何为网络连接设置或者修改区域

区域设置以 ZONE=选项存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空，firewalld将使用配置的默认区域。

如果这个连接受到 NetworkManager控制，你也可以使用 nm-connection-editor来修改区域。

由NetworkManager控制的网络连接

防火墙不能够通过 NetworkManager显示的名称来配置网络连接，只能配置网络接口。因此在网络连接之前 NetworkManager将配置文件所述连接对应的网络接口告诉 firewalld。如果在配置文件中没有配置区域，接口将配置到 firewalld的默认区域。如果网络连接使用了不止一个接口，所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager控制并应用到firewalld。

为了简化，自此，网络连接将被用作与区域的关系。

如果一个接口断开了，NetworkManager也将告诉firewalld从区域中删除该接口。

当firewalld由systemd或者init脚本启动或者重启后，firewalld将通知NetworkManager把网络连接增加到区域。

由脚本控制的网络

对于由网络脚本控制的连接有一条限制：没有守护进程通知 firewalld将连接增加到区域。这项工作仅在 ifcfg-post脚本进行。因此，此后对网络连接的重命名将不能被应用到firewalld。同样，在连接活动时重启 firewalld将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。

区域定义了本区域中防火墙的特性：

使用firewalld

你可以通过图形界面工具 firewall-config或者命令行客户端 firewall-cmd启用或者关闭防火墙特性。

使用firewall-cmd

命令行工具 firewall-cmd支持全部防火墙特性。对于状态和查询模式，命令只返回状态，没有其他输出。

一般应用

获取 firewalld状态

firewall-cmd--state

此举返回 firewalld的状态，没有任何输出。可以使用以下方式获得状态输出：

firewall-cmd--state&& echo"Running"|| echo"Not running"

在 Fedora 19中,状态输出比此前直观:

# rpm-qf$( which firewall-cmd)

firewalld-0.3.3-2.fc19.noarch# firewall-cmd--state

not running

在不改变状态的条件下重新加载防火墙：

firewall-cmd--reload

如果你使用–complete-reload，状态信息将会丢失。这个选项应当仅用于处理防火墙问题时，例如，状态信息和防火墙规则都正常，但是不能建立任何连接的情况。

获取支持的区域列表

firewall-cmd--get-zones

这条命令输出用空格分隔的列表。

获取所有支持的服务

firewall-cmd--get-services

这条命令输出用空格分隔的列表。

获取所有支持的ICMP类型

firewall-cmd--get-icmptypes

这条命令输出用空格分隔的列表。

列出全部启用的区域的特性

firewall-cmd--list-all-zones

输出格式是：

<zone>

interfaces:<interface1>..

services:<service1>..

ports:<port1>..

forward-ports:<forward port1>..

icmp-blocks:<icmp type1>....

输出区域<zone>全部启用的特性。如果生略区域，将显示默认区域的信息。

firewall-cmd [--zone=<zone>]--list-all

获取默认区域的网络设置

firewall-cmd--get-default-zone

设置默认区域

firewall-cmd--set-default-zone=<zone>

流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。

获取活动的区域

firewall-cmd--get-active-zones

这条命令将用以下格式输出每个区域所含接口：

<zone1>:<interface1><interface2>..<zone2>:<interface3>..

根据接口获取区域

firewall-cmd--get-zone-of-interface=<interface>

这条命令将输出接口所属的区域名称。

将接口增加到区域

firewall-cmd [--zone=<zone>]--add-interface=<interface>

如果接口不属于区域，接口将被增加到区域。如果区域被省略了，将使用默认区域。接口在重新加载后将重新应用。

修改接口所属区域

firewall-cmd [--zone=<zone>]--change-interface=<interface>

这个选项与–add-interface选项相似，但是当接口已经存在于另一个区域的时候，该接口将被添加到新的区域。

从区域中删除一个接口

firewall-cmd [--zone=<zone>]--remove-interface=<interface>

查询区域中是否包含某接口

firewall-cmd [--zone=<zone>]--query-interface=<interface>

返回接口是否存在于该区域。没有输出。

列举区域中启用的服务

firewall-cmd [--zone=<zone> ]--list-services

启用应急模式阻断所有网络连接，以防出现紧急状况

firewall-cmd--panic-on

禁用应急模式

firewall-cmd--panic-off

代码如下复制代码

应急模式在 0.3.0版本中发生了变化

在 0.3.0之前的 FirewallD版本中, panic选项是–enable-panic与–disable-panic.

查询应急模式

firewall-cmd--query-panic

此命令返回应急模式的状态，没有输出。可以使用以下方式获得状态输出：

firewall-cmd--query-panic&& echo"On"|| echo"Off"

处理运行时区域

运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。

启用区域中的一种服务

firewall-cmd [--zone=<zone>]--add-service=<service> [--timeout=<seconds>]

此举启用区域中的一种服务。如果未指定区域，将使用默认区域。如果设定了超时时间，服务将只启用特定秒数。如果服务已经活跃，将不会有任何警告信息。

例:使区域中的ipp-client服务生效60秒:

firewall-cmd--zone=home--add-service=ipp-client--timeout=60

例:启用默认区域中的http服务:

firewall-cmd--add-service=http

禁用区域中的某种服务

firewall-cmd [--zone=<zone>]--remove-service=<service>

此举禁用区域中的某种服务。如果未指定区域，将使用默认区域。

例:禁止home区域中的http服务:

firewall-cmd--zone=home--remove-service=http

区域种的服务将被禁用。如果服务没有启用，将不会有任何警告信息。

查询区域中是否启用了特定服务

firewall-cmd [--zone=<zone>]--query-service=<service>

如果服务启用，将返回1,否则返回0。没有输出信息。

启用区域端口和协议组合

firewall-cmd [--zone=<zone>]--add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]

此举将启用端口和协议的组合。端口可以是一个单独的端口<port>或者是一个端口范围<port>-<port>。协议可以是 tcp或 udp。

禁用端口和协议组合

firewall-cmd [--zone=<zone>]--remove-port=<port>[-<port>]/<protocol>

查询区域中是否启用了端口和协议组合

firewall-cmd [--zone=<zone>]--query-port=<port>[-<port>]/<protocol>

如果启用，此命令将有返回值。没有输出信息。

启用区域中的IP伪装功能

firewall-cmd [--zone=<zone>]--add-masquerade

此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。

禁用区域中的IP伪装

firewall-cmd [--zone=<zone>]--remove-masquerade

查询区域的伪装状态

firewall-cmd [--zone=<zone>]--query-masquerade

如果启用，此命令将有返回值。没有输出信息。

启用区域的ICMP阻塞功能

firewall-cmd [--zone=<zone>]--add-icmp-block=<icmptype>

此举将启用选中的Internet控制报文协议（ICMP）报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文，以及错误应答。

禁止区域的ICMP阻塞功能

firewall-cmd [--zone=<zone>]--remove-icmp-block=<icmptype>

查询区域的ICMP阻塞功能

firewall-cmd [--zone=<zone>]--query-icmp-block=<icmptype>

如果启用，此命令将有返回值。没有输出信息。

例:阻塞区域的响应应答报文:

firewall-cmd--zone=public--add-icmp-block=echo-reply

在区域中启用端口转发或映射

firewall-cmd [--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}

端口可以映射到另一台主机的同一端口，也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口<port>或者是端口范围<port>-<port>。协议可以为 tcp或udp。目标端口可以是端口号<port>或者是端口范围<port>-<port>。目标地址可以是 IPv4地址。受内核限制，端口转发功能仅可用于IPv4。

禁止区域的端口转发或者端口映射

firewall-cmd [--zone=<zone>]--remove-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}

查询区域的端口转发或者端口映射

firewall-cmd [--zone=<zone>]--query-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}