全球主机交流论坛

标题: centos7 防火墙没开端口还可以ssh问题 [打印本页]
作者: w635530219    时间: 2018-12-25 14:10
标题: centos7 防火墙没开端口还可以ssh问题
centos7查看防火墙没有打开ssh的22端口,为什么可以ssh登陆上来?哪位大佬能给解释下吗

[root@test ~]# firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports: 12399/tcp 12399/udp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
作者: plumn    时间: 2018-12-25 14:13
firewalld的防火墙策略是zone{service{port,升级了,针对不同网络环境,默认是public互联网公开zone,对应开启默认的dhcpv6-client 和ssh 这两个service,然后才是普通的port端口设置,具体使用入门我有视频教程,不过怕被ddcc不发了,百度一下很多介绍
作者: zhbrcn    时间: 2018-12-25 14:17
services: dhcpv6-client ssh
作者: w635530219    时间: 2018-12-25 14:17
plumn 发表于 2018-12-25 14:13
firewalld的防火墙策略是zone{service{port,升级了,针对不同网络环境,默认是public互联网公开zone,对应 ...

好的,我百度查查。谢谢大佬
作者: liihone    时间: 2018-12-25 14:26
vi /usr/lib/firewalld/services/ssh.xml
作者: 韧体就是我    时间: 2018-12-25 14:32
你防火墙规则里明明有ssh服务啊。CentOS防火墙默认开启ssh服务
作者: moowee    时间: 2018-12-25 14:44
liihone 发表于 2018-12-25 14:26
vi /usr/lib/firewalld/services/ssh.xml

这么说,默认开了这么多端口啊

# cd /usr/lib/firewalld/services/
# ls
amanda-client.xml        https.xml         nfs3.xml                  sip.xml
amanda-k5-client.xml     http.xml          nfs.xml                   smtp-submission.xml
bacula-client.xml        imaps.xml         nmea-0183.xml             smtps.xml
bacula.xml               imap.xml          nrpe.xml                  smtp.xml
bgp.xml                  ipp-client.xml    ntp.xml                   snmptrap.xml
bitcoin-rpc.xml          ipp.xml           open扶墙.xml               snmp.xml
bitcoin-testnet-rpc.xml  ipsec.xml         ovirt-imageio.xml         spideroak-lansync.xml
bitcoin-testnet.xml      ircs.xml          ovirt-storageconsole.xml  squid.xml
bitcoin.xml              irc.xml           ovirt-vmconsole.xml       ssh.xml
ceph-mon.xml             iscsi-target.xml  pmcd.xml                  syncthing-gui.xml
ceph.xml                 jenkins.xml       pmproxy.xml               syncthing.xml
cfengine.xml             kadmin.xml        pmwebapis.xml             synergy.xml
condor-collector.xml     kerberos.xml      pmwebapi.xml              syslog-tls.xml
ctdb.xml                 kibana.xml        pop3s.xml                 syslog.xml
dhcpv6-client.xml        klogin.xml        pop3.xml                  telnet.xml
dhcpv6.xml               kpasswd.xml       postgresql.xml            tftp-client.xml
dhcp.xml                 kprop.xml         privoxy.xml               tftp.xml
dns.xml                  kshell.xml        proxy-dhcp.xml            tinc.xml
docker-registry.xml      ldaps.xml         ptp.xml                   tor-socks.xml
docker-swarm.xml         ldap.xml          pulseaudio.xml            transmission-client.xml
dropbox-lansync.xml      libvirt-tls.xml   puppetmaster.xml          upnp-client.xml
elasticsearch.xml        libvirt.xml       quassel.xml               vdsm.xml
freeipa-ldaps.xml        managesieve.xml   radius.xml                vnc-server.xml
freeipa-ldap.xml         mdns.xml          redis.xml                 wbem-https.xml
freeipa-replication.xml  minidlna.xml      RH-Satellite-6.xml        xmpp-bosh.xml
freeipa-trust.xml        mongodb.xml       rpc-bind.xml              xmpp-client.xml
ftp.xml                  mosh.xml          rsh.xml                   xmpp-local.xml
ganglia-client.xml       mountd.xml        rsyncd.xml                xmpp-server.xml
ganglia-master.xml       mssql.xml         samba-client.xml          zabbix-agent.xml
git.xml                  ms-wbt.xml        samba.xml                 zabbix-server.xml
gre.xml                  murmur.xml        sane.xml
high-availability.xml    mysql.xml         sips.xml
作者: liihone    时间: 2018-12-25 14:53
moowee 发表于 2018-12-25 14:44
这么说,默认开了这么多端口啊

# cd /usr/lib/firewalld/services/

# firewall-cmd --zone=public --list-all
查看
services: dhcpv6-client ssh
作者: moowee    时间: 2018-12-25 15:00
liihone 发表于 2018-12-25 14:53
# firewall-cmd --zone=public --list-all
查看
services: dhcpv6-client ssh


services: ssh dhcpv6-client

这样看services确实只有2项,是什么控制着/usr/lib/firewalld/services/下这么多项,只生效这两项呢。
作者: liihone    时间: 2018-12-25 15:05
moowee 发表于 2018-12-25 15:00
services: ssh dhcpv6-client

这样看services确实只有2项,是什么控制着/usr/lib/firewalld/services/ ...

firewall-cmd --add-service=http --permanent
firewall-cmd --remove-service=http --permanent
作者: moowee    时间: 2018-12-25 15:12
liihone 发表于 2018-12-25 15:05
firewall-cmd --add-service=http --permanent
firewall-cmd --remove-service=http --permanent

似乎明白了/usr/lib/firewalld/services/下放着模板,需要add permanent才能生效,即使修改了/usr/lib/firewalld/services/下的文件,也需要add permanent才能生效。
3Q~
作者: yunlife    时间: 2018-12-25 15:17
moowee 发表于 2018-12-25 15:12
似乎明白了/usr/lib/firewalld/services/下放着模板,需要add permanent才能生效,即使修改了/usr/lib/fi ...

谢谢大佬科普
作者: w635530219    时间: 2018-12-25 20:27
zhbrcn 发表于 2018-12-25 14:17
services: dhcpv6-client ssh

呃,尴尬,一开始没搞明白列出来的,以为只有ports里的端口是开放的,谢谢大佬
作者: w635530219    时间: 2018-12-25 20:28
韧体就是我 发表于 2018-12-25 14:32
你防火墙规则里明明有ssh服务啊。CentOS防火墙默认开启ssh服务

尴尬,一开始没搞明白列出来的,以为只有ports里的端口是开放的,谢谢大佬



欢迎光临 全球主机交流论坛 (https://hostloc.onozo.cc/) Powered by Discuz! X3.4