服务器防火墙端口设置

1、Linux 服务器如何开放端口 配置防火墙

打开配置文件 

命令代码  

[root@localhost ~]# vi /etc/sysconfig/iptables   

配置代码  

# Firewall configuration written by system-config-firewall  

# Manual customization of this file is not recommended.  

*filter  

:INPUT ACCEPT [0:0]  

:FORWARD ACCEPT [0:0]  

:OUTPUT ACCEPT [0:0]  

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT  

-A INPUT -p icmp -j ACCEPT  

-A INPUT -i lo -j ACCEPT  

-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT  

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT   

-A INPUT -j REJECT –reject-with icmp-host-prohibited  

-A FORWARD -j REJECT –reject-with icmp-host-prohibited  

COMMIT   

配置[*]通配代码  

-A INPUT -m state –state NEW -m tcp -p tcp –dport * -j ACCEPT  

命令代码  

[root@localhost ~]# /etc/init.d/iptables restart  

命令代码  

[root@localhost ~]# /etc/init.d/iptables status  

命令代码  

[root@localhost ~]# /etc/init.d/iptables stop  

2、服务器防火墙的地址跟端口如何设置？

冲突应该不会有，但是你要注意，一般不需要装ARP的，自己手工绑定好就可以了，DDOS，这个软件，有点怎么说呢，小用处，真正的话，还是硬防好

3、公司防火墙端口设置

建议将内网和服务器分开，使用不同的域，使用不同的规则。可以参考以下设置：

1.使用防火墙的3个接口（Interface），一个连接内网（以下简称LAN口），一个连接外网（以下简称内WAN口），一个连接服务器（以下简称DMZ口）。
其中内网使用网络地址转换（NAT）映射到外网口。配置好路由。

2.访问规则的设置
2.1 WAN -> LAN： 禁止所有端口。
2.2 LAN -> WAN： 开放所有端口。
2.3 WAN -> DMZ: 开放TCP80、TCP21、TCP25端口，开放ICMP服务。这里注意FTP服务器要使用PORT模式，后面会有讨论。
2.4 DMZ -> WAN： 开放所有端口。
2.5 LAN -> DMZ： 开放TCP80、TCP21、TCP25端口，开放ICMP服务。
2.6 DMZ -> LAN： 开放所有端口。

3.对内网的管理
以上设置对内网是没有管理的，允许内网用户使用所有Internet服务。若需要对内网用户进行管理，比如若允许内网用户访问WWW和SMTP服务器，可以在规则2.2中只开放TCP80、TCP443（为WWW开放）和TCP25（为SMTP开放）。但这样会对有些应用产生影响，比如BT（这样就禁止BT了，对管理者来说不是好事吗）。

4.评价与分析
这样设置在兼顾了内网和服务器的安全，若两者在一个区域内，则服务器的可用性会降低内网的安全性（因为对内网开放了一般用户不需要打开的几个端口），内网的可管理性又会影响服务器的可用性（因为关闭了服务器需要对外的随机端口）。

5.关于FTP的补充
FTP服务器有两种模式PORT和PASV，两者都有利弊，前者（PORT）允许服务器端的防火墙在规则2.3中只开放21端口便可提供FTP服务，但若客户端的防火墙使用了NAT，则无法正常下载，只能获取文件列表；后者（PASV）可以供防火墙使用了NAT的客户端访问并下载，但需要在规则2.3中开放大量的随机端口，大大降低了服务器的安全性。两种模式在可用性和安全性上都有不小的缺陷，但这是FTP协议设计的问题，没有什么好办法。目前一般的FTP服务器使用的都是PORT模式。

6.若还有我没说清的地方，请留言，我们进一步联系。

4、如何在防火墙开启端口server

indows2008R2系统防火墙在，控制面板里面去找（还可以到服务器管理器里面找)

点击进入专08防火墙设置选项卡，注意一属下【高级设置】里面去设置

如图，在防火墙设置右上方，有【创建规则】

入站规则
进入规则向导页面，如图选择【端口】类型

本案例以开放webmail自定义端口为例，选择特定端口如8008

操作设置
然后在操作设置里面，选择【允许连接】

安全域选择
接下来就是重点了，需要允许应用到的规则域区域。建议全部选择，

然后是规则的名称，可以任意取名。建议加上备注，比如XX服务器XX应用

检查配置(出站和入站的区别就是端口的指向）
设置好之后，如图点击入站规则里面查看。可以看到刚刚的配置设置

出站规则
出站规则设置方法是一样的，注意一下。协议类型，有TCP. UDP 你可以选择所有及 ALL类型

测试端口
设置好服务器防火墙端口开放之后，再内网的还需要在路由器上设置映射。可以通过站长工具在线测试，如图

5、服务器 防火墙 端口

假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出，应该限制对其服务端版口6129的访问。

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x

这样就权只有123.45.67.89可以访问该主机的6129端口了。
如果你是动态IP，应该根据IP分配的范围设置规则。比如：

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x

这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

6、在防火墙中怎么添加端口

1.检查guest账户是否开启 XP默认情况下不开启guest账户，因此些为了其他人能浏览你的计算机，请启用账户。同时，为了安全请为guest设置密码或相应的权限。当然，也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。 2.检查是否拒绝Guest用户从网络访问本机 当你开启了guest账户却还是根本不能访问时，请检查设置是否为拒绝guest从网络访问计算机，因为XP默认是不允许guest从网络登录的，所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制，点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”，打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。 3.改网络访问模式 XP默认是把从网络登录的所有用户都按来宾账户处理的，因此即使管理员从网络登录也只具有来宾的权限，若遇到不能访问的情况，请尝试更改网络的访问模式。打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。 这样即使不开启guest，你也可以通过输入本地的账户和密码来登录你要访问的计算机，本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码，可以通过输入你要访问的计算机内已经的账户和密码来登录。 若不对访问模式进行更改，也许你连输入用户名和密码都办不到，//computername/guest为灰色不可用。即使密码为空，在不开启guest的情况下，你也不可能点确定登录。改成经典模式，最低限度可以达到像2000里没有开启guest账户情况时一样，可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况，请看接下来的。 4.一个值得注意的问题 我们可能还会遇到另外一个问题，即当用户的口令为空时，即使你做了上述的所有的更改还是不能进行登录，访问还是会被拒绝。这是因为，在系统“安全选项”中有“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中，找到“使用空白密码的本地账户只允许进行控制台登录”项，停用就可以，否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了，你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。 5.网络邻居不能看到计算机 可能经常不能在网络邻居中看到你要访问的计算机，除非你知道计算机的名字或者IP地址，通过搜索或者直接输入//computername或//IP。请按下面的操作解决：启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表，并将此列表提供给指定为浏览器的计算机。如果停止了此服务，则既不更新也不维护该列表。 137/UDP--NetBIOS名称服务器，网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。 138/UDP--NetBIOS数据报，NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于网络登录和浏览。 139/TCP--NetBIOS会话服务，NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹和打印机共

7、Windows2008防火墙怎么设置端口例外

Windows2008防火墙设抄置端口例外，具体呢步骤如下：
1、打开控制面板—>打开Windows防火墙，

2、点击“更改设置”按钮后，弹出防火墙设置界面，点击下图选项卡中的“例外”选项

3、点击“添加端口”按钮，弹出如下界面，输入名称和端口号后，点击“确定”按钮即可。

8、如何设置用防火墙封常用端口

局域网用户的限制和反限制技巧

局域网用户的限制和反限制技巧
可能现在对局域网上网用户限制比较多，比如不能上一些网站，不能玩某些游戏，不能上MSN，端口限制等等，一般就是通过代理服务器上的软件进行限制，如现在谈的最多的ISA Server 2004，或者是通过硬件防火墙进行过滤。下面谈谈如何突破限制，需要分限制情况进行说明：

一、单纯的限制某些网站，不能访问，网络游戏（比如联众）不能玩，这类限制一般是限制了欲访问的IP地址。

对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。

二、限制了某些协议，如不能FTP了等情况，还有就是限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理。

这种情况可以用SOCKS代理，配合Sockscap32软件，把软件加到SOCKSCAP32里，通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏，可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了，那可以用socks2http了，不会连HTTP也限制了吧。

三、基于包过滤的限制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。

这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。

四、基于端口的限制，限制了某些端口，最极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。

这种限制可以通过以下办法突破：

1、找普通HTTP80端口的代理，12.34.56.78:80，象这样的，配合socks2http，把HTTP代理装换成SOCKS代理，然后再配合SocksCap32，就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。
2、用类似FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。

五、以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN，还有限制端口的情况。

一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。

六、还有一种情况就是你根本就不能上网，没给你上网的权限或者IP，或者做IP与MAC地址绑定了。

两个办法：

1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口。。其他能够支持这种方式代 理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP， 给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。

在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K， 本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE，测试上网通过，速度很快，而且传输数据还是加密的，非常棒。

2、和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是你不要给网络管理员带来麻烦，不要影响局域网的正常运转。这可是最好的办法了。

另外，在局域网穿透防火墙，还有一个办法，就是用HTTPTUNNEL，用这个软件需要服务端做配合，要运行httptunnel的服务端，这种方法对局域网端口限制很有效。

隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。这类技术现在有些软件可以做到，HACKER经常用到这类技术。

HTTPTunnel，Tunnel这个英文单词的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点， 就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包 括两个程序，htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.1.231，我本地的机器的IP是192.168.1.226，现在我本地因为防火墙的原因无法连接到 FTP上，

现在用HTTPTunnel的过程如下：

第一步：在我的机器上（192.168.1.226）启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行htc -F 8888 192.168.1.231:80命令，其中htc是客户端程序，-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。

然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。

第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令

“hts -f localhost:21 80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了。

可是，人家看到的怎么是127.0.0.1而不是192.168.1.231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控 制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口 在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻！

9、win2008防火墙怎么设置开放特定端口

win2008防火墙设置开放特定端口的教程如下：

1.打开win2008控制面板管理器，找到windows防火墙的设置。如图

2.进入windows防火墙的设置界面，点击高级设置（如果要开放至今关闭防火墙也行，但不是我们推荐的操作）

方法1：复制原有规则

3.对于windows防火墙如果安装的软件一般都会有添加到防火墙信任的设置，比如你安装了某个网站程序默认会把80加到信任。最简单的办法就是负责之前有的防火墙规则

4.比如之前已经有的是90端口的防火墙规则，我们把他复制粘贴一份。然后改成自己需要的端口号801即可

5.常规办法

如果没有现成的规则怎么办呢，我们点击设置入站规则。新建规则

6.然后根据向导页面，点击选择自定义规则类型（或者端口都行）

7.设置好之后，选择协议类型。默认端口都是 tcp类型

8.设置好之后，应用到可执行的作用域。（默认规则是任意IP，如果您有特殊IP设置要求请添加设置）

9.设置操作，本例咗嚛设置的是开放端口。操作类型选允许连接

10.生成配置文件，这里关于域和专用还有公用网络这个可以参考win7的网络连接图（域就是内网，公用就是连接到internt的部分）

11.设置规则名称，这个根据您的需求填写方便识别就行

12.查看设置

添加好后，点击如果找到刚新建的规则检查是不是有问题。 这里截图我们只是设置了入站，对于出站的规则也要添加一条方法是一样的

10、windows10服务器防火墙端口设置在哪

1、WIN+X调出系统配置菜单，选择控制面板；

2、选择windows 防火墙；

3、点击左侧的“高级设置”选项；

4、设置入站规则（入站规则：别人电脑访问自己电脑；出站规则：自己电脑访问别人电脑），点击“新建规则”，点选“端口”，单击 “下一步”；

5、选择相应的协议，如添加8080端口，我们选择TCP，在我写本地端口处输入8080；

6、选择“允许连接”，点击“下一步”；

7、勾选“域”，“专用”，“公司”，点击“下一步”；

8、输入端口名称，点“完成”即可。

9、具体效果如下，已经在防火墙里开放单独端口。