Как открыть порт linux centos
Перейти к содержимому

Как открыть порт linux centos

  • автор:

Блог дяди Freemanа

How to open port in CentOS 7/Как открыть порт на CentOS 7

В версии CentOS 7 для управления iptables начали использовать firewalld, он в свою очередь управляется через команду firewall-cmd.

В отличии от iptables, firewalld оперирует зонами и сервисами, а не цепочками и правилами. Каждому сетевому интерфейсу присваивается определенная зона, она может быть как пользовательская так и предустановленная.

Список предустановленных зон:

  • drop — уничтожает все входящие пакеты, исходящие разрешены
  • block — уничтожает все входящие пакеты, при этом отправляя сообщение отправителю, что пакет был удален, исходящие разрешены
  • public — разрешены входящие соединения только для ssh и dhcp-client
  • external — поддерживает NAT для трансляции адресов внутренней сети
  • internal — разрешены службы ssh, samba, mdns, dhcp
  • dmz — разрешено только ssh подключение
  • work — разрешены только ssh и dhcp
  • home — то же самое что и internal
  • trusted — все разрешено

Эти зоны служат для того, чтобы быстро сменить набор правил интерфейсы, изменив его зону.

Еще одной полезной особенностью firewalld является то, что есть конфигурация выполнения — runtime, и конфигурация постоянная — permanent.

Синтаксис команд

В отличии от iptables, тут довольно все просто:

# firewall-cmd --[permanent] --zone=[zone_name] options

Если не указывать, что правило будет постоянное, то все изменения будут проводиться только в runtime, то есть действительны только до перезагрузки.

Следующие опции могут быть использованы для манипуляций с зонами:

  • —state — вывести состояние брандмауэра;
  • —reload — перезагрузить правила из постоянной конфигурации;
  • —complete-reload — жёсткая перезагрузка правил с разрывом всех соединений;
  • —runtime-to-permanent — перенести настройки конфигурации runtime в постоянную конфигурацию;
  • —permanent — использовать постоянную конфигурацию;
  • —get-default-zone — отобразить зону, используемую по умолчанию;
  • —set-default-zone — установить зону по умолчанию;
  • —get-active-zones — отобразить активные зоны;
  • —get-zones — отобразить все доступные зоны;
  • —get-services — вывести предопределенные сервисы;
  • —list-all-zones — вывести конфигурацию всех зон;
  • —new-zone — создать новую зону;
  • —delete-zone — удалить зону;
  • —list-all — вывести всё, что добавлено, из выбранной зоны;
  • —list-services — вывести все сервисы, добавленные к зоне;
  • —add-service — добавить сервис к зоне;
  • —remove-service — удалить сервис из зоны;
  • —list-ports — отобразить порты, добавленные к зоне;
  • —add-port — добавить порт к зоне;
  • —remove-port — удалить порт из зоны;
  • —query-port — показать, добавлен ли порт к зоне;
  • —list-protocols — вывести протоколы, добавленные к зоне;
  • —add-protocol — добавить протокол к зоне;
  • —remove-protocol — удалить протокол из зоны;
  • —list-source-ports — вывести порты источника, добавленные к зоне;
  • —add-source-port — добавить порт-источник к зоне;
  • —remove-source-port — удалить порт-источник из зоны;
  • —list-icmp-blocks — вывести список блокировок icmp;
  • —add-icmp-block — добавить блокировку icmp;
  • —add-icmp-block — удалить блокировку icmp;
  • —add-forward-port — добавить порт для перенаправления в NAT;
  • —remove-forward-port — удалить порт для перенаправления в NAT;
  • —add-masquerade — включить NAT;
  • —remove-masquerade — удалить NAT.

Пример использования

К примеру, мы хотим добавить к зоне какой-либо сервис:

# firewall-cmd --zone=public --add-service=http --permanent

А удалить можно так:

# firewall-cmd --zone=public --remove-service=http --permanent

Если мы используем ключ —permanent, то для того, чтобы правила начали работать, нужно использовать команду

# firewall-cmd --reload

которая перечитает правила в конфигурацию исполнения

Если необходимо открыть специфичный порт, то можно просто указать его командой:

# firewall-cmd --zone=public --add-port=8083/tcp --permanent

Проброс портов в Firewalld настраивается намного проще, чем в iptables. Если вам нужно, например, перенаправить трафик с порта 2223 на порт 22, достаточно добавить к зоне перенаправление:

# firewall-cmd --zone=public --add-forward-port=port=2223:proto=tcp:toport=22

Здесь перенаправление выполняется только на текущей машине. Если вы хотите настроить сеть NAT и пробрасывать порт на другую машину, то вам нужно сначала включить поддержку masquerade

# firewall-cmd --zone=public --add-masquerade

Затем уже можно добавить порт:

firewall-cmd --zone=publiс --add-forward-port=port=2223:proto=tcp:toport=22:toaddr=192.168.56.4

Расширенные правила

Если функциональности зон вам недостаточно, вы можете использовать расширенные правила. Общий синтаксис расширенных правил такой:

rule family="семейтво" source значение destination значение log audit действие

Вот значение основных параметров:

  • В качестве семейства протоколов можно указать ipv4 или ipv6 или ничего не указывать, тогда правило будет применяться к обоим протоколам;
  • source и destination — это отправитель и получатель пакета. В качестве этих параметров может быть использован IP-адрес (address), сервис (service name), порт (port), протокол (protocol) и так далее;
  • log — позволяет логгировать прохождение пакетов, например в syslog. В этой настройке вы можете указать префикс строчки лога и уровень подробности логгирования;
  • audit — это альтернативный способ логгирования, когда сообщения будут отправляться в службу auditd.
  • действие — это действие, которое необходимо выполнить с совпавшим пакетом. Доступны: accept, drop, reject, mark.

Давайте рассмотрим несколько примеров. Нам необходимо заблокировать доступ к серверу для пользователя с IP 135.152.53.5:

# firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=135.152.53.5 reject'

Или нам нужно запретить для этого же пользователя только доступ к порту 22:

# firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=135.152.53.5 port port=22 protocol=tcp reject'

Посмотреть все расширенные правила можно командой:

# firewall-cmd --list-rich-rules

Как открывать порты в системе Linux

Порт — это конечная точка соединения. В операционной системе порт открывается или закрывается для передачи пакетов данных определенных процессов или сетевых служб.

Обычно порты определяют конкретную присвоенную им сетевую службу. Это можно изменить вручную, настроив службу на использование другого порта, но в целом можно оставить значения по умолчанию.

Первые 1024 порта (номера портов от 0 до 1023) называются общеизвестными или системными и зарезервированы для часто используемых служб. К ним относятся SSH (порт 22), HTTP (порт 80), HTTPS (порт 443) и тому подобное.

Номера портов выше 1024 называются эфемерными портами.

  • Порты с номерами от 1024 до 49151 называются зарегистрированными/пользовательскими.
  • Номера портов с 49152 по 65535 называются динамическими/частными портами.

В этом мануале мы откроем эфемерный порт в Linux, поскольку общие службы используют известные порты.

Требования

Для выполнения туториала нужно уметь пользоваться терминалом.

Проверка открытых портов

Прежде чем открыть порт в Linux, нужно проверить список всех открытых портов и выбрать эфемерный порт, которого нет в этом списке.

С помощью команды netstat можно получить список всех открытых портов, включая TCP и UDP — это распространенные протоколы для передачи пакетов на сетевом уровне.

Учитывая используемые флаги, команда выводит следующее:

  • все прослушиваемые сокеты (-l)
  • номер порта (-n)
  • TCP-порты (-t)
  • UDP-порты (-u)

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp6 0 0 ::1:5432 . * LISTEN tcp6 0 0 ::1:6379 . * LISTEN tcp6 0 0 . 22 . * LISTEN udp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN

Примечание. Если в вашем дистрибутиве нет netstat, то с помощью команды ss можно вывести список открытых портов путем проверки сокетов прослушивания.

Убедитесь, что команда ss выводит согласованные выходные данные:

Получим следующий вывод:

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 127.0.0.53%lo:53 0.0.0.0:* tcp LISTEN 0 128 127.0.0.1:5432 0.0.0.0:* tcp LISTEN 0 128 127.0.0.1:27017 0.0.0.0:* tcp LISTEN 0 128 127.0.0.1:6379 0.0.0.0:* tcp LISTEN 0 128 127.0.0.53%lo:53 0.0.0.0:* tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* tcp LISTEN 0 128 [::1]:5432 0.0.0.0:* tcp LISTEN 0 128 [::1]:6379 0.0.0.0:* tcp LISTEN 0 128 [::]:22 0.0.0.0:*

Эта команда выводит практически те же открытые порты, что и netstat.

Открытие порта для TCP-соединений

Теперь откроем закрытый порт и настроим его на прослушивание TCP-соединений.

В этом туториале мы откроем порт 4000. Но при желании вы можете выбрать другой закрытый порт. Только убедитесь, что его номер больше 1023.

С помощью команды netstat убедитесь, что порт 4000 не используется:

netstat -na | grep :4000

То же самое можно сделать с помощью команды ss:

ss -na | grep :4000

Вывод должен быть пустым, таким образом подтверждается, что порт сейчас не используется, чтобы была возможность вручную добавить правила порта в системный брандмауэр iptables.

Ubuntu и системы на базе ufw

ufw — клиент командной строки для брандмауэра UncomplicatedFirewall.

Команда будет выглядеть следующим образом:

sudo ufw allow 4000

CentOS и системы на базе firewalld

firewall-cmd — клиент командной строки для брандмауэра firewalld.

Команды будут выглядеть так:

Для других дистрибутивов Linux

Изменить системные правила фильтрации пакетов IPv4 можно с помощью iptables.

iptables -A INPUT -p tcp —dport 4000 -j ACCEPT

Тестирование порта

После успешного открытия TCP-порта нужно его протестировать.

При отправке вывода ls любому подключенному клиенту, сначала запустите netcat (nc) и прослушивайте (-l) порт (-p) 4000:

ls | nc -l -p 4000

Теперь клиент получит вывод ls после того, как он откроет TCP-соединение на порту 4000. Пока оставьте этот сеанс.

Откройте другой терминал на той же машине.

Поскольку мы открыли TCP-порт, мы можем протестировать TCP-подключения с помощью telnet. Если у вас этой команды нет, установите ее с помощью менеджера пакетов.

Введите IP вашего сервера и номер порта (в данном случае 4000) и выполните следующую команду:

telnet localhost 4000

Эта команда пытается открыть TCP-соединение на локальном хосте через порт 4000.

Получим следующий вывод, в котором указано, что соединение с программой установлено (nc):

Trying ::1. Trying 127.0.0.1. Connected to localhost. Escape character is '^]'. while.sh

Вывод ls (в данном примере while.sh) отправлен клиенту, что указывает на успешное TCP-соединение.

С помощью nmap проверьте, открыт ли порт (-p):

nmap localhost -p 4000

Эта команда проверит открытый порт:

Starting Nmap 7.60 ( https://nmap.org ) at 2020-01-18 21:51 UTC Nmap scan report for localhost (127.0.0.1) Host is up (0.00010s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE 4000/tcp open remoteanything Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds

Как видите, вы успешно открыли новый порт в Linux.

Примечание: nmap выводит список только открытых портов, на которых в данный момент есть прослушивающее приложение. Если вы не используете приложение для прослушивания (например netcat), то порт 4000 будет отображаться как закрытый, поскольку в настоящее время на этом порту нет ни одного прослушивающего приложения. Аналогично не будет работать и telnet, поскольку этой команде также нужно прослушивающее приложение. Именно по этой причине nc такой полезный инструмент. Он имитирует такие среды с помощью простой команды.

Но порт открыт временно, так как изменения будут сбрасываться при каждой перезагрузке системы.

Сохранение правил брандмауэра

Способ, который мы рассмотрели в этом мануале только временно обновляет правила брандмауэра, пока система не выключится или не перезагрузится. Поэтому для повторного открытия того же порта после перезагрузки необходимо повторить эти шаги. Однако правила брандмауэра можно сохранить навсегда.

Для брандмауэра ufw

Правила ufw не сбрасываются при перезагрузке. Это происходит потому, что он интегрирован в процесс загрузки, и ядро применяет соответствующие конфигурационные файлы и сохраняет правила брандмауэра ufw.

Для firewalld

Необходимо применить флаг –permanent, чтобы правила были действительны после перезагрузки системы.

Для iptables

Чтобы сохранить правила конфигурации, рекомендуется использовать iptables-persistent.

Подводим итоги

В этом туториале мы разобрали, как открыть новый порт в Linux и настроить его для входящих соединений, а также поработали с netstat, ss, telnet, nc и nmap.

Открытие портов в CentOS 7

Практически все пользователи дистрибутива CentOS 7 устанавливают в систему различные средства, для корректной работы которых необходимо открывать порты определенных номеров. Это требуется для обеспечения нормального соединения с узлами и безопасного обмена информацией. Осуществляется поставленная задача путем изменения правил межсетевого экрана. Конечно, каждый юзер может использовать самые разнообразные брандмауэры, однако стандартным является iptables. Именно на его примере мы и предлагаем открыть порты, следуя приведенным далее инструкциям.

Открываем порты в CentOS 7

Открытие портов — задача несложная, ведь для этого придется ввести всего несколько команд в консоль. Однако если вы изначально не производили дополнительных настроек с межсетевым экраном или используете стороннее средство, придется дополнительно изменить важные параметры. Поэтому мы разделили нашу статью на этапы, чтобы начинающим юзерам было проще разобраться с каждым шагом, а сейчас начнем с непосредственной инсталляции iptables в CentOS 7.

Шаг 1: Инсталляция или обновление iptables

Как уже было сказано выше, iptables в CentOS 7 выступает в качестве межсетевого экрана по умолчанию. Если вручную не было произведено никаких изменений, можно смело пропускать данный шаг, выполнив только последний этап с инсталляцией утилит брандмауэра. В случае необходимости проверки обновлений или повторной установки данного инструмента советуем воспользоваться следующим руководством.

  1. Все действия, описываемые сегодня, будут производиться в «Терминале», поэтому все начинается с его запуска. Используйте для этого горячую клавишу Ctrl + Alt + T или значок, добавленный в раздел «Избранное» в меню приложений. Запуск терминала для установки iptables в CentOS 7 при открытии портов
  2. Здесь введите команду sudo yum install iptables , а затем нажмите на клавишу Enter. Ввод команды для инсталляции утилиты iptables в CentOS 7 перед открытием портов
  3. Для подтверждения этой команды потребуется указать пароль суперпользователя. Учитывайте, что при таком типе написания вводимые символы не отображаются. Подтверждение установки iptables в CentOS 7 перед открытием портов
  4. Вы будете уведомлены о том, что инсталляция или обновление успешно произведены. Если же в операционную систему и так добавлена последняя версия iptables, на экране появится строка «Выполнять нечего». Информация об успешной инсталляции утилиты iptables в CentOS 7
  5. Завершите этот шаг командой sudo yum -y install iptables-services . Это запустит инсталляцию необходимых сервисов. Команда для инсталляции вспомогательных утилит для iptables в CentOS 7
  6. Можно переходить к следующему этапу, если на экране появилось сообщение об успешном добавлении компонентов. Успешная инсталляция вспомогательных утилит для iptables в CentOS 7

Шаг 2: Сброс стандартных правил брандмауэра

Если ранее системным администратором или пользователем не производилась настройка iptables, стандартные настройки следует сбросить, чтобы в будущем не возникло проблем с совместимостью правил. Дополнительно потребуется указать и стандартные правила, обеспечив корректность выполнения входящих и исходящих соединений. Все это происходит так:

  1. Введите в консоли команду iptables -L -v -n , чтобы просмотреть список текущих параметров. Команда для просмотра стандартных правил утилиты iptables в CentOS 7
  2. Если они вас не устраивают, значит придется осуществлять сброс и ручную конфигурацию. Отображение стандартных правил утилиты iptables в CentOS 7
  3. Удаление существующих правил выполняется с помощью всего одной строки sudo iptables -F . Команда для сброса всех правил команды iptables в CentOS 7
  4. Далее разрешите все вводимые данные сервера, вставив sudo iptables -A INPUT -i lo -j ACCEPT . Команда для создания правил на входящие соединения iptables в CentOS 7
  5. Для исходящих соединений применима практически такая же команда: sudo iptables -A OUTPUT -o lo -j ACCEPT . Команда для создания правил на исходящие соединения iptables в CentOS 7
  6. Рекомендуется ограничить новые соединения и разрешить уже существующие, чтобы обеспечить безопасность и наладить работу указанных ранее правил. Происходит это через sudo iptables -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT . Команда для обеспечения безопасности соединений iptables в CentOS 7

Все дальнейшие настройки рассмотренной утилиты осуществляются пользователем вручную, включая и открытие портов. О последней теме мы поговорим в следующих шагах, а расширенная конфигурация не входит в рамки сегодняшнего материала. Вместо этого рекомендуем ознакомиться со специальным обучающим материалом по данной теме, воспользовавшись расположенной ниже ссылкой.

Шаг 3: Отключение FirewallD

К этому шагу следует присмотреться тем пользователям, кто ранее устанавливал FirewallD или он был добавлен автоматически. При настройке портов через iptables данный инструмент может мешать корректному выполнению правил, поэтому его потребуется деактивировать.

  1. Для начала остановите выполнение службы через sudo systemctl stop firewalld . Команда для отключение защитника при настройке iptables в CentOS 7
  2. Далее произведите полное отключение, воспользовавшись командой sudo systemctl disable firewalld . Команда для деактивации защитника при настройке iptables в CentOS 7
  3. Вы получите информацию о том, что символические ссылки были удалены, следовательно, FirewallD с этого момента не работает. Уведомление об успешном отключении FirewallD при настройке iptables в CentOS 7

Если вы хотите вручную удалить папки, хранящие в себе настройки FirewallD, пропустив перечисленные выше команды, вставьте в «Терминал» по очереди указанные ниже строки и активируйте их.

rm ‘/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service’
rm ‘/etc/systemd/system/basic.target.wants/firewalld.service’

В будущем любому пользователю может потребоваться активация и дальнейшая настройка FirewallD, особенно когда приходится работать с различными веб-серверами и утилитами. Мы предлагаем сделать это, используя приведенное далее руководство.

Шаг 4: Открытие портов через iptables

Пришло время произвести основное действие, чему и посвящена сегодняшняя статья. Выше мы выполнили абсолютно все подготовительные работы, чтобы сейчас открыть порты в CentOS 7. Теперь с этим не должно возникнуть никаких проблем, поэтому можно вводить следующие команды.

  1. В обязательном порядке добавьте межсетевой экран в автозагрузку, чтобы не запускать его постоянно вручную. В этом поможет команда sudo systemctl enable iptables . Команда для добавления сервисов iptables в CentOS 7 в автозагрузку
  2. Вы будете уведомлены о создании символической ссылки. Информация об успешном добавлении iptables в CentOS 7 в автозагрузку
  3. Активируйте постоянные права суперпользователя, введя su , чтобы для каждой команды этой терминальной сессии не нужно было приписывать sudo. Использование команды для постоянных прав суперпользователя при настройке
  4. Подтвердите это действие, написав свой пароль. Ввод пароля для активации постоянных прав суперпользователя при настройке
  5. Откройте порт через команду iptables -I INPUT -p tcp —dport 22 -m state —state NEW -j ACCEPT , где 22 замените на необходимое число. Ввод команды для открытия порта через iptables в CentOS 7
  6. Сразу же можно открыть и следующий порт, например, под номером 25 (SMTP-сервер). Для этого введите iptables -I INPUT -p tcp —dport 25 -m state —state NEW -j ACCEPT . Вторая команда для открытия портов через iptables в CentOS 7
  7. Сохраните все изменения, вставив строку service iptables save . Сохранение изменений при открытии портов через iptables в CentOS 7
  8. Вы будете уведомлены о том, что конфигурация успешно применена. Информация об успешном сохранении настроек iptables в CentOS 7
  9. Перезагрузите межсетевой экран, чтобы все изменения вступили в силу. Осуществляется это через команду systemctl restart iptables . Перезапуск iptables в CentOS 7 для применения изменений
  10. В конце мы предлагаем использовать sudo iptables -nvL , чтобы изучить все открытые порты. Просмотр состояния iptables в CentOS 7 после открытия портов

В этой статье вы узнали все об открытии портов в CentOS 7. Как видите, это не займет много времени, а все изменения будут применены сразу же после перезагрузки сервисов. Используйте рассмотренные выше команды, изменяя только номера портов, чтобы все прошло успешно.

Виктор Бухтеев Вам помогли мои советы?

Открываем порт в Linux с помощью firewalld

Итак, вы купили VDS (виртуальный сервер), установили какой-то сервис, например ftp (File Transfer Protocol — протокол передачи файлов) и у вас не проходят соединения на сервер из внешней сети Интернет, но локально в консоли всё работает. Это означает, что порт скорее всего закрыт файрволом от внешних соединений в целях безопасности.

Почему так происходит

По умолчанию большинство портов закрыто межсетевым краном от внешних соединений в целях безопасности. Системный администратор должен стараться по-максимуму ограничивать доступ к сервисам из вне. Например, в большинстве случаев доступ к СУБД (Система управления базами данных) закрыт для внешних IP-адресов. Если какому-то серверу из вне нужен доступ, то его открывают только для заданного IP-адреса или подсети. Разумно ограничить доступы межсетевым экраном ко всем внутренним службам, которые не должны быть доступны любому пользователю Интернет.

Установка firewalld

firewall-cmd --state #смотрим состояние файрвол, если файрвола нет, то устанавливаем его yum install firewalld #скорее всего он у вас уже установлен systemctl enable firewalld #включаем автоматический запуск фарвол. Это нужно, чтобы он запускался после перезагрузки сервера. systemctl start firewalld #запускаем файрвол firewall-cmd --list-all #смотрим настройки public (active) target: default icmp-block-inversion: no interfaces: ens3 sources: services: dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Как проверить, что порт закрыт именно файрволом?

systemctl stop firewalld #отключаем файрволл и проверяем есть ли соединение из вне systemctl start firewalld #включаем файрвол

Открываем порт для внешних соединений всем пользователям

firewall-cmd --add-port=21/tcp firewall-cmd --remove-port=21/tcp #эту команду используйте, чтобы закрыть порт

Это очевидный, но не самый лучший вариант. Он подойдёт вам, если нужно открыть какой-то конкретный порт. Если же задача разрешить сервис, то лучше подойдёт команда:

firewall-cmd --add-service=ftp firewall-cmd --get-services #эта команда выводит список всех возможных сервисов, которые можно добавлять в файрвол firewall-cmd --remove-service=ftp #эту команду используйте, чтобы закрыть службу

Пока эти команды только изменили текущую конфигурацию файрвола, но эти настройки не вступили в силу. Чтобы они заработали, нужно перезагрузить файрвол мягко без разрыва текущих соединений.

firewall-cmd --reload #перезагружаем без разрыва текущих соединений firewall-cmd --complete-reload #сбросит и текущие соединения firewall-cmd --list-all #смотрим настройки public (active) target: default icmp-block-inversion: no interfaces: ens3 sources: services: dhcpv6-client ftp ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks:

И если эти настройки нам нужны постоянно, то есть и после перезагрузки сервера, то нужно их сохранить.

firewall-cmd --runtime-to-permanent #делаем текущие настройки постоянными

При выполнении команд можно использовать опцию —permanent, чтобы настройки сразу сохранялись глобально. Но лучше так не делать, потому что вы не можете быть на 100% уверены, что ваши команды приведут к задуманному результату. Поэтому вы сначала добавляете настройки в текущую конфигурацию, перезагружаете файрвол, проверяете, что всё работает как требуется и только после тестирования сохраняете настройки глобально. Важно, конечно, не забыть их сохранить, а то после перезагрузки сервера будут проблемы.

Кстати, это распространённая ошибка системных администраторов, что сервер не устойчив к перезагрузкам. Некоторые системные администраторы любят хвастаться UPTIME в не сколько лет. Но у этого есть и обратная сторона, что они не могут быть уверены, что какие-то их команды не носят временный характер до ближайшей перезагрузки.

Открываем сервис для внешних соединений пользователям из заданной подсети

firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="ftp" accept'

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *