伺服器防火牆埠設置

1、Linux 伺服器如何開放埠 配置防火牆

打開配置文件 

命令代碼  

[root@localhost ~]# vi /etc/sysconfig/iptables   

配置代碼  

# Firewall configuration written by system-config-firewall  

# Manual customization of this file is not recommended.  

*filter  

:INPUT ACCEPT [0:0]  

:FORWARD ACCEPT [0:0]  

:OUTPUT ACCEPT [0:0]  

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT  

-A INPUT -p icmp -j ACCEPT  

-A INPUT -i lo -j ACCEPT  

-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT  

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT   

-A INPUT -j REJECT –reject-with icmp-host-prohibited  

-A FORWARD -j REJECT –reject-with icmp-host-prohibited  

COMMIT   

配置[*]通配代碼  

-A INPUT -m state –state NEW -m tcp -p tcp –dport * -j ACCEPT  

命令代碼  

[root@localhost ~]# /etc/init.d/iptables restart  

命令代碼  

[root@localhost ~]# /etc/init.d/iptables status  

命令代碼  

[root@localhost ~]# /etc/init.d/iptables stop  

2、伺服器防火牆的地址跟埠如何設置？

沖突應該不會有，但是你要注意，一般不需要裝ARP的，自己手工綁定好就可以了，DDOS，這個軟體，有點怎麼說呢，小用處，真正的話，還是硬防好

3、公司防火牆埠設置

建議將內網和伺服器分開，使用不同的域，使用不同的規則。可以參考以下設置：

1.使用防火牆的3個介面（Interface），一個連接內網（以下簡稱LAN口），一個連接外網（以下簡稱內WAN口），一個連接伺服器（以下簡稱DMZ口）。
其中內網使用網路地址轉換（NAT）映射到外網口。配置好路由。

2.訪問規則的設置
2.1 WAN -> LAN： 禁止所有埠。
2.2 LAN -> WAN： 開放所有埠。
2.3 WAN -> DMZ: 開放TCP80、TCP21、TCP25埠，開放ICMP服務。這里注意FTP伺服器要使用PORT模式，後面會有討論。
2.4 DMZ -> WAN： 開放所有埠。
2.5 LAN -> DMZ： 開放TCP80、TCP21、TCP25埠，開放ICMP服務。
2.6 DMZ -> LAN： 開放所有埠。

3.對內網的管理
以上設置對內網是沒有管理的，允許內網用戶使用所有Internet服務。若需要對內網用戶進行管理，比如若允許內網用戶訪問WWW和SMTP伺服器，可以在規則2.2中只開放TCP80、TCP443（為WWW開放）和TCP25（為SMTP開放）。但這樣會對有些應用產生影響，比如BT（這樣就禁止BT了，對管理者來說不是好事嗎）。

4.評價與分析
這樣設置在兼顧了內網和伺服器的安全，若兩者在一個區域內，則伺服器的可用性會降低內網的安全性（因為對內網開放了一般用戶不需要打開的幾個埠），內網的可管理性又會影響伺服器的可用性（因為關閉了伺服器需要對外的隨機埠）。

5.關於FTP的補充
FTP伺服器有兩種模式PORT和PASV，兩者都有利弊，前者（PORT）允許伺服器端的防火牆在規則2.3中只開放21埠便可提供FTP服務，但若客戶端的防火牆使用了NAT，則無法正常下載，只能獲取文件列表；後者（PASV）可以供防火牆使用了NAT的客戶端訪問並下載，但需要在規則2.3中開放大量的隨機埠，大大降低了伺服器的安全性。兩種模式在可用性和安全性上都有不小的缺陷，但這是FTP協議設計的問題，沒有什麼好辦法。目前一般的FTP伺服器使用的都是PORT模式。

6.若還有我沒說清的地方，請留言，我們進一步聯系。

4、如何在防火牆開啟埠server

indows2008R2系統防火牆在，控制面板裡面去找（還可以到伺服器管理器裡面找)

點擊進入專08防火牆設置選項卡，注意一屬下【高級設置】裡面去設置

如圖，在防火牆設置右上方，有【創建規則】

入站規則
進入規則向導頁面，如圖選擇【埠】類型

本案例以開放webmail自定義埠為例，選擇特定埠如8008

操作設置
然後在操作設置裡面，選擇【允許連接】

安全域選擇
接下來就是重點了，需要允許應用到的規則域區域。建議全部選擇，

然後是規則的名稱，可以任意取名。建議加上備注，比如XX伺服器XX應用

檢查配置(出站和入站的區別就是埠的指向）
設置好之後，如圖點擊入站規則裡面查看。可以看到剛剛的配置設置

出站規則
出站規則設置方法是一樣的，注意一下。協議類型，有TCP. UDP 你可以選擇所有及 ALL類型

測試埠
設置好伺服器防火牆埠開放之後，再內網的還需要在路由器上設置映射。可以通過站長工具在線測試，如圖

5、伺服器 防火牆 埠

假設你在某主機上安裝了DameWare Mini Remote Control。為了保護它不被別人暴破密碼或溢出，應該限制對其服務端版口6129的訪問。

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x

這樣就權只有123.45.67.89可以訪問該主機的6129埠了。
如果你是動態IP，應該根據IP分配的范圍設置規則。比如：

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x

這樣就允許123.45.67.1至123.45.67.254的IP訪問6129埠。

6、在防火牆中怎麼添加埠

1.檢查guest賬戶是否開啟 XP默認情況下不開啟guest賬戶，因此些為了其他人能瀏覽你的計算機，請啟用賬戶。同時，為了安全請為guest設置密碼或相應的許可權。當然，也可以為每一台機器設置一個用戶名和密碼以便計算機之間的互相訪問。 2.檢查是否拒絕Guest用戶從網路訪問本機 當你開啟了guest賬戶卻還是根本不能訪問時，請檢查設置是否為拒絕guest從網路訪問計算機，因為XP默認是不允許guest從網路登錄的，所以即使開了guest也一樣不能訪問。在開啟了系統Guest用戶的情況下解除對Guest賬號的限制，點擊「開始→運行」，在「運行」對話框中輸入「GPEDIT.MSC」，打開組策略編輯器，依次選擇「計算機配置→Windows設置→安全設置→本地策略→用戶權利指派」，雙擊「拒絕從網路訪問這台計算機」策略，刪除裡面的「GUEST」賬號。這樣其他用戶就能夠用Guest賬號通過網路訪問使用Windows XP系統的計算機了。 3.改網路訪問模式 XP默認是把從網路登錄的所有用戶都按來賓賬戶處理的，因此即使管理員從網路登錄也只具有來賓的許可權，若遇到不能訪問的情況，請嘗試更改網路的訪問模式。打開組策略編輯器，依次選擇「計算機配置→Windows設置→安全設置→本地策略→安全選項」，雙擊「網路訪問：本地賬號的共享和安全模式」策略，將默認設置「僅來賓—本地用戶以來賓身份驗證」，更改為「經典：本地用戶以自己的身份驗證」。 這樣即使不開啟guest，你也可以通過輸入本地的賬戶和密碼來登錄你要訪問的計算機，本地的賬戶和密碼為你要訪問的計算機內已經的賬戶和密碼。若訪問網路時需要賬戶和密碼，可以通過輸入你要訪問的計算機內已經的賬戶和密碼來登錄。 若不對訪問模式進行更改，也許你連輸入用戶名和密碼都辦不到，//computername/guest為灰色不可用。即使密碼為空，在不開啟guest的情況下，你也不可能點確定登錄。改成經典模式，最低限度可以達到像2000里沒有開啟guest賬戶情況時一樣，可以輸入用戶名和密碼來登錄你要進入的計算機。也許你還會遇到一種特殊的情況，請看接下來的。 4.一個值得注意的問題 我們可能還會遇到另外一個問題，即當用戶的口令為空時，即使你做了上述的所有的更改還是不能進行登錄，訪問還是會被拒絕。這是因為，在系統「安全選項」中有「賬戶：使用空白密碼的本地賬戶只允許進行控制台登錄」策略默認是啟用的，根據Windows XP安全策略中拒絕優先的原則，密碼為空的用戶通過網路訪問使用Windows XP的計算機時便會被禁止。我們只要將這個策略停用即可解決問題。在安全選項中，找到「使用空白密碼的本地賬戶只允許進行控制台登錄」項，停用就可以，否則即使開了guest並改成經典模式還是不能登錄。經過以上的更改基本就可以訪問了，你可以嘗試選擇一種適合你的方法。下面在再補充點其它可能會遇到的問題。 5.網路鄰居不能看到計算機 可能經常不能在網路鄰居中看到你要訪問的計算機，除非你知道計算機的名字或者IP地址，通過搜索或者直接輸入//computername或//IP。請按下面的操作解決：啟動「計算機瀏覽器」服務。「計算機瀏覽器服務」在網路上維護一個計算機更新列表，並將此列表提供給指定為瀏覽器的計算機。如果停止了此服務，則既不更新也不維護該列表。 137/UDP--NetBIOS名稱伺服器，網路基本輸入/輸出系統(NetBIOS)名稱伺服器(NBNS)協議是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它在基於NetBIOS名稱訪問的網路上提供主機名和地址映射方法。 138/UDP--NetBIOS數據報，NetBIOS數據報是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它用於網路登錄和瀏覽。 139/TCP--NetBIOS會話服務，NetBIOS會話服務是TCP/IP上的NetBIOS(NetBT)協議族的一部分，它用於伺服器消息塊(SMB)、文件共享和列印。請設置防火牆開啟相應的埠。一般只要在防火牆中允許文件夾和列印機共

7、Windows2008防火牆怎麼設置埠例外

Windows2008防火牆設抄置埠例外，具體呢步驟如下：
1、打開控制面板—>打開Windows防火牆，

2、點擊「更改設置」按鈕後，彈出防火牆設置界面，點擊下圖選項卡中的「例外」選項

3、點擊「添加埠」按鈕，彈出如下界面，輸入名稱和埠號後，點擊「確定」按鈕即可。

8、如何設置用防火牆封常用埠

區域網用戶的限制和反限制技巧

區域網用戶的限制和反限制技巧
可能現在對區域網上網用戶限制比較多，比如不能上一些網站，不能玩某些游戲，不能上MSN，埠限制等等，一般就是通過代理伺服器上的軟體進行限制，如現在談的最多的ISA Server 2004，或者是通過硬體防火牆進行過濾。下面談談如何突破限制，需要分限制情況進行說明：

一、單純的限制某些網站，不能訪問，網路游戲（比如聯眾）不能玩，這類限制一般是限制了欲訪問的IP地址。

對於這類限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。現在網上找HTTP代理還是很容易的，一抓一大把。在IE里加了HTTP代理就可以輕松訪問目的網站了。

二、限制了某些協議，如不能FTP了等情況，還有就是限制了一些網路游戲的伺服器端IP地址，而這些游戲又不支持普通HTTP代理。

這種情況可以用SOCKS代理，配合Sockscap32軟體，把軟體加到SOCKSCAP32里，通過SOCKS代理訪問。一般的程序都可以突破限制。對於有些游戲，可以考慮Permeo Security Driver 這個軟體。如果連SOCKS也限制了，那可以用socks2http了，不會連HTTP也限制了吧。

三、基於包過濾的限制，或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN ，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。

這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的數據流經過加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用這些軟體再配合Sockscap32，MSN就可以上了。 這類限制就不起作用了。

四、基於埠的限制，限制了某些埠，最極端的情況是限制的只有80埠可以訪問，也就只能看看網頁，連OUTLOOK收信，FTP都限制了。當然對於限制幾個特殊埠，突破原理一樣。

這種限制可以通過以下辦法突破：

1、找普通HTTP80埠的代理，12.34.56.78:80，象這樣的，配合socks2http，把HTTP代理裝換成SOCKS代理，然後再配合SocksCap32，就很容易突破了。這類突破辦法中間走的代理未 加密。通通通軟體也有這個功能。
2、用類似FLAT軟體，配合SocksCap32，不過所做的FLAT代理最好也是80埠，當然不是80埠也沒關系，因為FLAT還支持再通過普通的HTTP代理訪問，不是80埠，就需要再加一個80埠的HTTP 代理。這類突破辦法中間走的代理加密，網管不知道中間所走的數據是什麼。代理跳板也可以做到，不過代理仍然要80埠的。對於單純是80埠限制，還可以用一些埠轉換的技術突破限制。

五、以上一些限制綜合的，比如有限制IP的，也有限制關鍵字，比如封MSN，還有限制埠的情況。

一般用第四種情況的第二個辦法就可以完全突破限制。只要還允許上網，呵呵，所有的限制都可以突破。

六、還有一種情況就是你根本就不能上網，沒給你上網的許可權或者IP，或者做IP與MAC地址綁定了。

兩個辦法：

1、你在公司應該有好朋友吧，鐵哥們，鐵姐們都行，找一個能上網的機器，借一條通道，裝一個小軟體就可以解決問題了，FLAT應該可以，有密鑰，別人也上不了，而且可以自己定義埠。。其他能夠支持這種方式代 理的軟體也可以。我進行了一下測試，情況如下：區域網環境，有一台代理上網的伺服器，限定了一部分IP， 給予上網許可權，而另一部分IP不能上網，在硬體防火牆或者是代理伺服器上做的限制。我想即使做MAC地址與IP綁定也沒有用了，照樣可以突破這個限制。

在區域網內設置一台能上網的機器，然後把我機器的IP設置為不能上網的，然後給那台能上網的機器裝FLAT伺服器端程序，只有500多K， 本機通過FLAT客戶端，用SOCKSCAP32加一些軟體，如IE，測試上網通過，速度很快，而且傳輸數據還是加密的，非常棒。

2、和網路管理員搞好關系，一切都能搞定，網路管理員什麼許可權都有，可以單獨給你的IP開無任何限制的，前提是你不要給網路管理員帶來麻煩，不要影響區域網的正常運轉。這可是最好的辦法了。

另外，在區域網穿透防火牆，還有一個辦法，就是用HTTPTUNNEL，用這個軟體需要服務端做配合，要運行httptunnel的服務端，這種方法對區域網埠限制很有效。

隱通道技術就是藉助一些軟體，可以把防火牆不允許的協議封裝在已被授權的可行協議內，從而通過防火牆，埠轉換技術也是把不允許的埠轉換成允許通過的埠，從而突破防火牆的限制。這類技術現在有些軟體可以做到，HACKER經常用到這類技術。

HTTPTunnel，Tunnel這個英文單詞的意思是隧道，通常HTTPTunnel被稱之為HTTP暗道，它的原理就是將數據偽裝成HTTP的數據形式來穿過防火牆，實際上是在HTTP請求中創建了一個雙向的虛擬數據連接來穿透防火牆。說得簡單點， 就是說在防火牆兩邊都設立一個轉換程序，將原來需要發送或接受的數據包封裝成HTTP請求的格式騙過防火牆，所以它不需要別的代理伺服器而直接穿透防火牆。HTTPTunnel剛開始時只有Unix版本，現在已經有人把它移植到Window平台上了，它包 括兩個程序，htc和hts，其中htc是客戶端，而hts是伺服器端，我們現在來看看我是如何用它們的。比如開了FTP的機器的IP是192.168.1.231，我本地的機器的IP是192.168.1.226，現在我本地因為防火牆的原因無法連接到 FTP上，

現在用HTTPTunnel的過程如下：

第一步：在我的機器上（192.168.1.226）啟動HTTPTunnel客戶端。啟動MS-DOS的命令行方式，然後執行htc -F 8888 192.168.1.231:80命令，其中htc是客戶端程序，-f參數表示將來自192.168.1.231:80的數據全部轉發到本機的8888埠，這個埠可以隨便選，只要本機沒有佔用就可以。

然後我們用Netstat看一下本機現在開放的埠，發現8888埠已在偵聽。

第二步：在對方機器上啟動HTTPTunnel的伺服器端，並執行命令

「hts -f localhost:21 80」，這個命令的意思是說把本機21埠發出去的數據全部通過80埠中轉一下，並且開放80埠作為偵聽埠，再用Neststat看一下他的機器，就會發現80埠現在也在偵聽狀態。

第三步：在我的機器上用FTP連接本機的8888埠，現在已經連上對方的機器了。

可是，人家看到的怎麼是127.0.0.1而不是192.168.1.231的地址？因為我現在是連接本機的8888埠，防火牆肯定不會有反應，因為我沒往外發包，當然區域網的防火牆不知道了。現在連接上本機的8888埠以後，FTP的數據包不管是控 制信息還是數據信息，都被htc偽裝成HTTP數據包然後發過去，在防火牆看來，這都是正常數據，相當於欺騙了防火牆。

需要說明的是，這一招的使用需要其他機器的配合，就是說要在他的機器上啟動一個hts，把他所提供的服務，如FTP等重定向到防火牆所允許的80埠上，這樣才可以成功繞過防火牆！肯定有人會問，如果對方的機器上本身就有WWW服務，也就是說他的80埠 在偵聽，這么做會不會沖突？HTTPTunnel的優點就在於，即使他的機器以前80埠開著，現在這么用也不會出現什麼問題，正常的Web訪問仍然走老路子，重定向的隧道服務也暢通無阻！

9、win2008防火牆怎麼設置開放特定埠

win2008防火牆設置開放特定埠的教程如下：

1.打開win2008控制面板管理器，找到windows防火牆的設置。如圖

2.進入windows防火牆的設置界面，點擊高級設置（如果要開放至今關閉防火牆也行，但不是我們推薦的操作）

方法1：復制原有規則

3.對於windows防火牆如果安裝的軟體一般都會有添加到防火牆信任的設置，比如你安裝了某個網站程序默認會把80加到信任。最簡單的辦法就是負責之前有的防火牆規則

4.比如之前已經有的是90埠的防火牆規則，我們把他復制粘貼一份。然後改成自己需要的埠號801即可

5.常規辦法

如果沒有現成的規則怎麼辦呢，我們點擊設置入站規則。新建規則

6.然後根據向導頁面，點擊選擇自定義規則類型（或者埠都行）

7.設置好之後，選擇協議類型。默認埠都是 tcp類型

8.設置好之後，應用到可執行的作用域。（默認規則是任意IP，如果您有特殊IP設置要求請添加設置）

9.設置操作，本例咗嚛設置的是開放埠。操作類型選允許連接

10.生成配置文件，這里關於域和專用還有公用網路這個可以參考win7的網路連接圖（域就是內網，公用就是連接到internt的部分）

11.設置規則名稱，這個根據您的需求填寫方便識別就行

12.查看設置

添加好後，點擊如果找到剛新建的規則檢查是不是有問題。 這里截圖我們只是設置了入站，對於出站的規則也要添加一條方法是一樣的

10、windows10伺服器防火牆埠設置在哪

1、WIN+X調出系統配置菜單，選擇控制面板；

2、選擇windows 防火牆；

3、點擊左側的「高級設置」選項；

4、設置入站規則（入站規則：別人電腦訪問自己電腦；出站規則：自己電腦訪問別人電腦），點擊「新建規則」，點選「埠」，單擊 「下一步」；

5、選擇相應的協議，如添加8080埠，我們選擇TCP，在我寫本地埠處輸入8080；

6、選擇「允許連接」，點擊「下一步」；

7、勾選「域」，「專用」，「公司」，點擊「下一步」；

8、輸入埠名稱，點「完成」即可。

9、具體效果如下，已經在防火牆里開放單獨埠。