開放端口的方法：

方法一：命令行方式

               1. 開放端口命令： /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
               2.保存：/etc/rc.d/init.d/iptables save
               3.重啟服務：/etc/init.d/iptables restart
               4.查看端口是否開放：/sbin/iptables -L -n
    

方法二：直接編輯/etc/sysconfig/iptables文件

               1.編輯/etc/sysconfig/iptables文件：vi /etc/sysconfig/iptables
                   加入內容并保存：-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
               2.重啟服務：/etc/init.d/iptables restart
               3.查看端口是否開放：/sbin/iptables -L -n

但是我用方法一一直保存不上缎岗，查閱網上發(fā)現直接修改文件不需要iptables save这敬，重啟下iptables 重新加載下配置。iptables save 是將當前的iptables寫入到/etc/sysconfig/iptables。我不save直接restart也不行证鸥，所以還是方法二吧

查詢端口是否有進程守護用如下命令grep對應端口措译，如80為端口號
例：netstat -nalp|grep 80 & netstat -anp | grep 你的端口號
查看當前正在使用的所有端口netstat -tunlp

netstat命令參數如下:
-a (all)顯示所有選項，默認不顯示LISTEN相關
-t (tcp)僅顯示tcp相關選項
-u (udp)僅顯示udp相關選項
-n 拒絕顯示別名偎行，能顯示數字的全部轉化成數字川背。
-l 僅列出有在 Listen (監(jiān)聽) 的服務狀態(tài)

-p 顯示建立相關鏈接的程序名
-r 顯示路由信息，路由表
-e 顯示擴展信息蛤袒，例如uid等
-s 按各個協(xié)議進行統(tǒng)計
-c 每隔一個固定時間熄云，執(zhí)行該netstat命令。

##提示：LISTEN和LISTENING的狀態(tài)只有用-a或者-l才能看到

firewalled命令

火墻的各類配置文件存儲在/usr/lib/firewalld和/etc/firewalld/中的各種xml文件里
firewalld的操作：
yum install firewalld firewall-config  ##安裝firewalld與圖形界面
firewall-config     ##打開圖形界面
systemctl status firewalld    ##查看火墻狀態(tài)
systemctl start firewalld     ##開啟火墻服務
systemctl restart firewalld     ##重啟啟火墻服務
systemctl stop firewalld      ##關閉火墻服務
systemctl enable firewalld     ##開機自動開啟
systemctl disable firewalld    ##開機不自啟
systemctl mask firewalld       ##凍結火墻服務
systemctl unmask firewalld    ##解凍火墻服務
firewall-cmd --state          ##查看火墻的狀態(tài)
firewall-cmd --get-default-zone   ##查看火墻默認的域
firewall-cmd --get-active-zone    ##查看火墻活動的域
firewall-cmd --get-zones          ##查看火墻所有可用的域
firewall-cmd --zone=public --list-all   ##列出制定域的所有設置
firewall-cmd --get-services       ##列出所有預設服務
firewall-cmd --list-all            ##列出默認區(qū)域的設置
firewall-cmd --list-all-zones      ##列出所有區(qū)域的設置
firewall-cmd --set-default-zone=dmz   ##設置默認區(qū)域為dmz
firewall-cmd --add-source=172.25.254.44 --zone=trusted   ##添加172.25.254.44到trusted域中去
firewall-cmd --remove-source=172.25.254.44 --zone=trusted  ##刪除172.25.254.44到trusted域中去
firewall-cmd --remove-interface=eth1 --zone=public  ##刪除public域中的eth1接口
firewall-cmd --add-interface=eth1 --zone=trusted    ##添加trusted域中一個接口eth1
firewall-cmd --add-service=http    ##添加http服務到火墻中
firewall-cmd --add-port=8080/tcp    ##添加端口為8080妙真，協(xié)議為tcp的到火墻中
firewall-cmd --permanent --add-service=http  ##永久添加http到火墻中
**-permanent參數表示永久生效設置缴允，如果沒有指定-zone參數，則加入默認區(qū)域
firewall-cmd --zone=public --list-ports   ##列出public域中端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp  ##添加端口
firewall-cmd --zone=public --add-port=80/tcp --permanent   （--permanent永久生效珍德，沒有此參數重啟后失效）
firewall-cmd --permanent --zone=public --remove-port=8080/tcp ##刪除端口
firewall-cmd --add-service=ssh --permanent  ##永久添加ssh服務（添加完后重新加載一下就可以查看了）
vim /etc/firewalld/zones/public.xml  ##編寫public域的配置文件,可以加服務（本次實驗添加lftp）
irewall-cmd -reload   ##重新加載火墻练般，不會立即中斷當前使用的服務
firewall-cmd --complete-reload  ##重新加載火墻，會立即中斷當前正在使用的服務

通過firewall-cmd 工具锈候，可以使用 --direct選項再運行時間里增加或移除鏈薄料。如果不熟悉iptables,使用直接接口非常危險，因為您可能無意間導致火墻被入侵泵琳。直接端口模式適用于服務或程序摄职，以便在運行時間內增加特定的火墻規(guī)則誊役。直接端口模式添加的規(guī)則優(yōu)先于應用。
firewall-cmd --direct --get-all-rules  ##列出規(guī)則
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT  ##在filter表中的INPUT鏈中第二條加入允許接受tcp協(xié)議的172.25.254.44的數據包通過端口22（sshd）訪問該主機
firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT  ##移除
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 谷市！ -s 172.25.254.44 -p tcp --dport 22 -j ACCEPT ##添加除了44主機以外的任何主機都可以訪問

cat /etc/services | grep ssh  ##查看與ssh有關的服務信息

##端口轉發(fā)（地址偽裝）

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44 ##別的主機通過22端口訪問該主機的時候偽裝到172.25.254.44主機上（要開啟偽裝才可成功）
firewall-cmd --permanent --add-masquerade  ##開啟偽裝
firewall-cmd--reload   ##需要重新加載
firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.44  ##移除
firewall-cmd --permanent --remove-masquerade ##關閉偽裝
##實現路由功能（連接不同的ip進行地址偽裝）
在服務器上配兩個網卡eth0:172.25.254.144 eth1:192.168.0.144
客戶端：192.168.0.244

firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.144 masquerade"  
firewall-cmd --add-masquerade  ##開啟偽裝

firewall-cmd --get-icmptypes
firewall-cmd --add-icmp-block=destination-unreacheable  ##ping的時候顯示目的地不可達
firewall-cmd --remove-icmp-block=destination-unreacheable  ##移除
firewall-cmd --add-icmp-block=echo_sed
firewall-cmd --add-icmp-block=echo-request
firewall-cmd --remove-icmp-block=echo-request
firewall-cmd --add-icmp-block=echo-request --timeout=5 ##