V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3365 天前的主题，其中的信息可能已经有所发展或是发生改变。

Iptables 配置如下

Generated by iptables-save v1.4.7 on Tue Sep 1 09:24:58 2015

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:152]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8989 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Completed on Tue Sep 1 09:24:58 2015

但是还是开启不了 8080 端口

执行 services iptables status 如下
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
4 ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:3306
5 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8989
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED
8 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
9 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
12 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with ic mp-host-prohibited

Chain FORWARD (policy ACCEPT )
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with ic mp-host-prohibited

Chain OUTPUT (policy ACCEPT )
num target prot opt source destination

TCP

input

State

17 条回复 • 2015-09-01 19:18:34 +08:00

Pangdouya

2015-09-01 12:47:01 +08:00 via iPhone

11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080

不是开启了吗？重启时用 iptables-restore 恢复。

nekoyaki

2015-09-01 12:47:08 +08:00

什么叫“还是开启不了该端口”，或者说你是凭借什么，认为你“开启不了该端口”？

nekoyaki

2015-09-01 12:48:19 +08:00

@Pangdouya
看他这个命令应该是 redhat/centos ，不像 debian 系， redhat 系不需要手动执行 iptables-restore 的。

Pangdouya

2015-09-01 12:57:45 +08:00 via iPad

@nekoyaki 谢谢指出。我说的是 debian 系下的做法， redhat/centos 我不太清楚。

uleh

2015-09-01 12:59:14 +08:00

1. 把规则写到 /etc/sysconfig/iptables
2. sudo systemctl restart iptables.service
3. 确认防火墙状态

nekoyaki

2015-09-01 14:20:05 +08:00

@uleh 但是你贴出来记录，显示端口开着的呀

uleh

2015-09-01 15:50:07 +08:00

@nekoyaki CentOS 里 iptables 和 firewall 是两套机制

nekoyaki

2015-09-01 17:16:21 +08:00

@uleh
那问题就很明确了，如果是两套机制，你改 iptables ，跟 firewall 还有啥关系？
虽然我其实不太知道你说的“两套机制”是什么含义。你用的 ufw 或者是别的防火墙工具了？

moxiaotiao

2015-09-01 17:36:18 +08:00

@nekoyaki 用在线端口检测工具，检测不到该端口处于开放状态

moxiaotiao

2015-09-01 17:36:39 +08:00

@nekoyaki Centos 6.8 系统

uleh

2015-09-01 18:06:53 +08:00

@nekoyaki 兄弟你回错人了吧？

uleh

2015-09-01 18:09:28 +08:00

@moxiaotiao 看我写的第三步，试试 systemctl status firewalld.service （这个才是正牌「防火墙」）

moxiaotiao

2015-09-01 18:16:46 +08:00

@uleh 恩，我试试

nekoyaki

2015-09-01 19:02:21 +08:00

@uleh 哦不好意思下意识以为你是楼主了。。

nekoyaki

2015-09-01 19:03:09 +08:00

@uleh 因为我刚问楼主怎么操作的，然后你就回帖说了操作，我以为是楼主在回答我，不好意思啊

nekoyaki

2015-09-01 19:04:17 +08:00

@moxiaotiao 用在线端口检测工具，检测不到该端口处于开放状态
===
这个还真不一定是你没开端口，有可能是运营商的问题。
你执行这个：
nc 服务器外网 IP 端口 -zv
试试，这样看通不通。

zent00

2015-09-01 19:18:34 +08:00

@uleh 楼主已经说过是 CentOS 6 了，哪来的 firewalld 。

@moxiaotiao 楼主， 8080 端口是什么程序在监听？确定该程序在正常工作吗？

iptables 修改了防火墙开启 8080 端口命令，重启保存之后，还是开启不了该端口

Generated by iptables-save v1.4.7 on Tue Sep 1 09:24:58 2015

Completed on Tue Sep 1 09:24:58 2015