firewall in linux(linux 打开端口)

linux显示找不到firewall命令

linux显示找不到firewall命令处理方法如下。

1、--add-port后未加=，通讯协议以及永久生效，继续测试。

2、仍报错未找到命令，firewall确认已安装有此命令，继续测试。

3、firewalld-cmd--zone=public--add-port=1551tcp--permanent，其中firewalld-cmd中间有空格（背景黄色部分报错）继续测试--zone与=之间有空格。

4、INVALID，ZONE：=public，（红色字体报错）增加公共端口，在文本里编辑后保存并加载，vi，etc，firewall，zones，public.xml，firewall-cmd--reload。

5、firewall-cmd--zone=public--add-port=1551tcp--permanent，背景蓝色，success即可。

Linux的三种防火墙对比(IPtables、Firewall、UFW)

IPtables部分

IPtables架构包含四个表（filter、nat、raw、mangle）和五个链（PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING），表定义了修改TCP/IP包头的特定位置，链表示数据包在路由转换过程中的不同阶段。在配置iptables命令时，遵循的逻辑是“表->链->规则”，但从“链->表->规则”的角度理解更直观。

在规则中，动作包括但不限于：ACCEPT（接受）、REJECT（拒绝并回复被拒原因）、DROP（直接丢弃无响应）、REDIRECT（端口重定向）、MASQUERADE（源地址动态伪装）、LOG（记录日志后继续向下匹配规则）、DNAT（目的IP转换）、SNAT（源IP转换）、MIRROR、QUEUE、RETURN、MARK。这些动作的适用范围在不同表和链中有所不同，例如REDIRECT动作只能应用于nat表的PREROUTING链、OUTPUT链。

常用模块包括tcp、udp、multiport、iprange、string、time、connlimit和limit，它们增强了iptables的功能。例如，tcp和udp模块允许使用-sd（源/目的IP）、-p（协议）、-lo（网卡输入/输出接口）作为默认链规则匹配条件，加载后支持--dport、--sport匹配条件。multiport模块支持指定多个不连续的端口号，iprange模块允许定义连续的IP地址范围，string模块允许指定字符串来匹配包含对应字符串的数据包，time模块允许根据时间段匹配报文，connlimit模块限制每个IP地址的并发连接数量，limit模块限制单位时间内流入的包数量。

规则配置技巧包括黑白名单机制、自定义链（即规则组）、将命中频率更高的规则放在前面以提升效率。黑白名单机制涉及链的默认策略和规则对应动作的严格配合，以实现“黑名单”或“白名单”效果。自定义链有助于组织针对不同服务（如HTTP、SSH、FTP）的访问规则，简化规则维护。

辅助命令有iptables-save/iptables-restore用于规则的导入导出、iptables-apply支持事务回滚与提交、iptables-xml用于规则文件的格式转换。处理动作REDIRECT不仅仅针对本地端口重定向，开启IP包转发后，根据规则重定向，系统会直接将包递送到本地重定向端口，而不论目的IP是否为本地。

Firewall部分

Firewall是基于智能的iptables规则管理服务，底层实现依赖iptables。它引入了zone的概念，允许按网卡划分不同信任级别的规则集。不同zone对应不同的策略，如丢弃区域、阻塞区域、信任区域等，每个区域允许不同类型的网络连接。Firewall提供两种配置类型：Runtime（临时存在，立即生效）和Permanent（长久存在，手动触发生效）。zone可以面向绑定类型包括Connections（当前连接状态的网络）、Interfaces（虚拟网络适配器）、Sources（基于源地址匹配的规则）。

全局组件包括Services（服务管理）、IPSets（IP集合）、ICMP Type（ICMP类型管理）和Helpers（连接追踪助手）。Firewall支持直接以iptables“表-链-规则”方式配置防火墙（Direct Configuration）和SELinux规则配置（Lockdown whitelist）。

Firewall的过滤类型包括Services、Ports、Protocols、Source Ports、ICMP Filter（“或”关系，面向所有来源和目的ip，优先级相等）和Rich Rules（灵活规则，支持IPSet、Log、Audit，面向个例，优先级高于前五种过滤类型）。功能类型包括Masquerading（源IP伪装）、Port Forwarding（端口转发）。

辅助命令包括firewall-cmd命令行防火墙管理器、firewall-config图形界面规则管理器。

杂项包括panic模式下所有进出包被丢弃、开启日志记录、转发功能。在Firewall中，规则配置示例包括列出当前配置信息、检查服务标记、重载或重置规则。

UFW部分

UFW是一款轻量级iptables配置工具，简化了防火墙配置。它支持规则过滤、日志记录、转发。命令介绍包括启用/禁用防火墙、设置默认策略、添加/删除规则、规则管理、规则重载/重置/查看。UFW与Firewall在功能上有相似之处，但UFW的配置方式更为直观。

辅助命令有UFW命令行防火墙管理器和gufw图形界面管理器。UFW中的规则使用服务名称时，参照/etc/services获取对应服务的端口信息。

杂项包括增删改规则后，通常需要重载或重启UFW以生效，除非更改默认策略，后者会立即生效。在进站默认策略设为deny后，ICMP请求仍可能通过，需额外添加规则禁止。

对比总结

netfilter、iptables、firewall、UFW之间的关系：netfilter底层负责规则执行，iptables作为规则制定工具，firewall和UFW作为用户界面和规则管理服务，提供易用性。iptables是应用层临时命令工具，规则设定后需外部管理以保持规则持久。firewall和UFW作为常驻服务，支持规则动态加载和持久存储。

应用平台：iptables是红帽系列6及以下的默认防火墙，firewall是红帽系列7及以上的默认防火墙，UFW是Debian系列的默认防火墙。虽然默认不同，但firewall和UFW均依赖iptables作为基础。

兼容性：iptables提供基本的防火墙功能，firewall和UFW扩展了易用性和功能。在不启用firewall或UFW的情况下，仍可通过iptables实现防火墙功能。同时启用firewall和UFW可能导致规则冲突。

Firewall防火墙与华为下一代USG防火墙区域对比：Firewall的区域是规则的集合，与流量通道绑定，USG的区域是接口的集合，规则的匹配基于源/目的区域、源/目的IP-Port和动作。Firewall面向单主机，USG面向多网络环境。

如何使用 firewall-cmd 管理网络服务 | Linux 中国

如何使用 firewall-cmd管理网络服务的详细教程已经为你呈现。通过firewall-cmd，你可以方便地管理你的网络服务、协议和端口，实现对它们的“阻止”或“允许”。首先，确保防火墙运行正常，通过状态选项检查。了解你的网络接口和活跃域是下一步，使用如firewall-cmd--get-active-zones来获取。查看特定域的详细信息，如目标、ICMP行为和接口列表。

在处理服务、端口和协议时，firewall-cmd默认会阻止所有，只允许已列出的。例如，允许的基本服务如samba-client、DNS通信和SSH（22端口）都是客户端服务。服务与端口和协议关联，如SSH服务使用TCP/UDP的22号端口。查看所有服务可用性，可通过firewall-cmd--get-services。

要打开或关闭端口，如开放5000端口的TCP连接，使用firewall-cmd--permanent添加或删除规则，确保指定适用的域和传输类型。规则更改后，再次检查区域信息确认设置。

总之，通过一系列命令行操作，你可以灵活地管理你的网络服务，确保其按照你的需求运行。本文由dan01撰写，LCTT原创编译，Linux中国提供。