V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
moxiaotiao
V2EX  ›  问与答

iptables 修改了防火墙开启 8080 端口命令,重启保存之后,还是开启不了该端口

  •  
  •   moxiaotiao · 2015-09-01 10:29:01 +08:00 · 5971 次点击
    这是一个创建于 3405 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Iptables 配置如下

    Generated by iptables-save v1.4.7 on Tue Sep 1 09:24:58 2015

    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [1:152]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 3306 -j DROP
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 8989 -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT

    Completed on Tue Sep 1 09:24:58 2015

    但是还是开启不了 8080 端口

    执行 services iptables status 如下
    num target prot opt source destination
    1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
    2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED
    3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
    4 ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:3306
    5 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
    6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8989
    7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED
    8 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
    9 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
    10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
    11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
    12 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with ic mp-host-prohibited

    Chain FORWARD (policy ACCEPT )
    num target prot opt source destination
    1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with ic mp-host-prohibited

    Chain OUTPUT (policy ACCEPT )
    num target prot opt source destination

    17 条回复    2015-09-01 19:18:34 +08:00
    Pangdouya
        1
    Pangdouya  
       2015-09-01 12:47:01 +08:00 via iPhone
    11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080

    不是开启了吗?重启时用 iptables-restore 恢复。
    nekoyaki
        2
    nekoyaki  
       2015-09-01 12:47:08 +08:00
    什么叫“还是开启不了该端口”,或者说你是凭借什么,认为你“开启不了该端口”?
    nekoyaki
        3
    nekoyaki  
       2015-09-01 12:48:19 +08:00
    @Pangdouya
    看他这个命令应该是 redhat/centos , 不像 debian 系, redhat 系不需要手动执行 iptables-restore 的。
    Pangdouya
        4
    Pangdouya  
       2015-09-01 12:57:45 +08:00 via iPad
    @nekoyaki 谢谢指出。我说的是 debian 系下的做法, redhat/centos 我不太清楚。
    uleh
        5
    uleh  
       2015-09-01 12:59:14 +08:00
    1. 把规则写到 /etc/sysconfig/iptables
    2. sudo systemctl restart iptables.service
    3. 确认防火墙状态
    nekoyaki
        6
    nekoyaki  
       2015-09-01 14:20:05 +08:00
    @uleh 但是你贴出来记录,显示端口开着的呀
    uleh
        7
    uleh  
       2015-09-01 15:50:07 +08:00
    @nekoyaki CentOS 里 iptables 和 firewall 是两套机制
    nekoyaki
        8
    nekoyaki  
       2015-09-01 17:16:21 +08:00
    @uleh
    那问题就很明确了,如果是两套机制,你改 iptables ,跟 firewall 还有啥关系?
    虽然我其实不太知道你说的“两套机制”是什么含义。你用的 ufw 或者是别的防火墙工具了?
    moxiaotiao
        9
    moxiaotiao  
    OP
       2015-09-01 17:36:18 +08:00
    @nekoyaki 用在线端口检测工具,检测不到该端口处于开放状态
    moxiaotiao
        10
    moxiaotiao  
    OP
       2015-09-01 17:36:39 +08:00
    @nekoyaki Centos 6.8 系统
    uleh
        11
    uleh  
       2015-09-01 18:06:53 +08:00
    @nekoyaki 兄弟你回错人了吧?
    uleh
        12
    uleh  
       2015-09-01 18:09:28 +08:00
    @moxiaotiao 看我写的第三步,试试 systemctl status firewalld.service (这个才是正牌「防火墙」)
    moxiaotiao
        13
    moxiaotiao  
    OP
       2015-09-01 18:16:46 +08:00
    @uleh 恩,我试试
    nekoyaki
        14
    nekoyaki  
       2015-09-01 19:02:21 +08:00
    @uleh 哦不好意思下意识以为你是楼主了。。
    nekoyaki
        15
    nekoyaki  
       2015-09-01 19:03:09 +08:00
    @uleh 因为我刚问楼主怎么操作的,然后你就回帖说了操作,我以为是楼主在回答我,不好意思啊
    nekoyaki
        16
    nekoyaki  
       2015-09-01 19:04:17 +08:00
    @moxiaotiao 用在线端口检测工具,检测不到该端口处于开放状态
    ===
    这个还真不一定是你没开端口,有可能是运营商的问题。
    你执行这个:
    nc 服务器外网 IP 端口 -zv
    试试,这样看通不通。
    zent00
        17
    zent00  
       2015-09-01 19:18:34 +08:00
    @uleh 楼主已经说过是 CentOS 6 了,哪来的 firewalld 。

    @moxiaotiao 楼主, 8080 端口是什么程序在监听?确定该程序在正常工作吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   958 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 20:20 · PVG 04:20 · LAX 12:20 · JFK 15:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.