一、原因
远程(ssh)连接不上linux服务器的大多数原因都是因为本地服务器的防火墙策略导致的,因此我们想ssh远程能够连接上服务器,有两种方法:
- 修改防火墙策略
- 关闭防火墙
二、防火墙服务介绍
1.CentOS7常用的防火墙有:iptables 与 firewalld
2.但需要注意的是:iptables 与 firewalld 都不是真正的防火墙, 它们都只是用来定义防火墙策略的防火墙管理工具,是一种服务。
3.Centos 7默认使用的是firewalld,而实际上iptables与firewalld只是单纯的配置规则的客户端工具,而真正起到防火墙作用(过滤/转发等功能)是内核netfilter模块。如果需要改用iptables的话,需要安装iptables服务:
yum install iptables-services systemctl start iptables # 开启防火墙 systemctl enable iptables # 设置开机启动防火墙 systemctl stop iptables # 关闭防火墙 systemctl disable iptables # 设置禁止开机启动防火墙
4.firewalld与iptables的不同
- firewalld 使用区域和服务而不是链式规则。
- firewalld 可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。
iptables 服务在 /etc/sysconfig/iptables 中储存配置,而 FirewallD 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里,使用 iptables 的时候每一个单独更改意味着清除所有旧有的规则和从 /etc/sysconfig/iptables 里读取所有新的规则,使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同。因此 FirewallD 可以在运行时改变设置而不丢失现行配置。
FirewallD的配置方法主要有三种:
- firewall-config
- firewall-cmd
- 直接编辑xml文件
其中 firewall-config是图形化工具,firewall-cmd是命令行工具,而对于linux来说大家应该更习惯使用命令行方式的操作,所以 firewall-config(适合用于桌面版)
5.图示
三、具体操作实例
我的linux服务器的发行版本是CentOS7版本。
1、修改防火墙策略
修改防火墙策略,目的是为了开启22端口,因为ssh远程的端口就是22
这里进行修改是指直接用客户机登录进服务器进行操作,而不是直接xshell连接,因为22端口没开之前,xshell是连接不上的
1.ifconfig # 查看ip网卡信息,记住eth0,eth1对应哪个ip地址 root@aliyunzbj /tmp o ifconfig eth0: flags=2256<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.10.53 netmask 255.255.255.0 broadcast 192.168.10.255 ... eth1: flags=2257<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.26.66 netmask 255.255.255.0 broadcast 192.168.26.255 ... lo: flags=82<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.255.255.0 ... 2.查看当前的iptables防火墙配置 root@aliyunzbj /tmp o iptables-save ... -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j MANAGE-INPUT # MANAGE-INPUT代表eth0网卡的防火墙策略 -A INPUT -i eth1 -j USER-INPUT # USER-INPUT代表eth1网卡的防火墙策略 ... # 这里可以看到MANAGE-INPUT即eth0网卡开启了22端口,但是下面的策略并没有看到USER-INPUT(eth1)开启22端口 -A MANAGE-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ... 3.给网卡eth1添加22端口 # 可以直接复制上面的策略,把MANAGE-INPUT改成USER-INPUT即可(如果eth0也没有开启,那么只需要把USER-INPUT改成MANAGE-INPUT再配置一次这个命令即可) root@aliyunzbj /tmp o iptables -A USER-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 4.再次查看策略 root@aliyunzbj /tmp o iptables-save ... -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j MANAGE-INPUT # MANAGE-INPUT代表eth0网卡的防火墙策略 -A INPUT -i eth1 -j USER-INPUT # USER-INPUT代表eth1网卡的防火墙策略 ... -A MANAGE-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A USER-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ...
5.也可以把上面新增的策略直接添加到 /etc/sysconfig/iptables,重启iptables服务
2、关闭防火墙
最直接的方法就是直接把防火墙策略关了
1.查看防火墙状态 systemctl status iptables.service 2.如果防火墙开启了,那么直接关闭 systemctl stop iptables.service