答案:通过firewalld和iptables配置防火墙规则,并结合服务绑定限制端口访问。首先启用firewalld或iptables,仅开放必要端口(如22、80),设置默认拒绝策略,再配置SSH、Nginx等服务绑定特定IP,最后使用ss或netstat验证监听状态,实现最小化暴露面,提升服务器安全性。
在Linux系统中,限制服务端口是保障服务器安全的重要手段。通过合理配置,可以防止未授权访问、减少攻击面。实现端口限制主要依赖防火墙工具(如iptables或firewalld)以及服务自身的绑定设置。以下是详细的配置方法。
使用firewalld限制服务端口
firewalld是CentOS/RHEL 7及以上版本默认的防火墙管理工具,支持动态管理规则。
1. 启动并启用firewalld:
systemctl start firewalld
systemctl enable firewalld
2. 查看当前开放的端口:
firewall-cmd –list-all
3. 仅允许特定端口(例如只允许SSH 22和HTTP 80):
firewall-cmd –permanent –add-service=ssh
firewall-cmd –permanent –add-service=http
firewall-cmd –permanent –remove-service=dhcpv6-client # 移除不需要的服务
4. 拒绝其他所有端口:
默认区域(public)通常默认拒绝未明确允许的流量。确保默认策略为drop或reject:
firewall-cmd –set-default-zone=drop
或保留public区域但清除多余服务:
firewall-cmd –permanent –remove-service=ssh –remove-service=http –add-port=22/tcp –add-port=80/tcp
5. 重载配置生效:
firewall-cmd –reload
使用iptables限制服务端口
iptables是传统且强大的包过滤工具,适用于大多数Linux发行版。
1. 清空现有规则(谨慎操作):
iptables -F
iptables -X
2. 设置默认策略为DROP:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
3. 允许本地回环接口:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
4. 允许已建立的连接:
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
5. 开放指定服务端口(如22、80、443):
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
6. 保存规则(CentOS/RHEL):
service iptables save
Ubuntu/Debian用户可安装iptables-persistent:
netfilter-persistent save
服务程序绑定指定IP和端口
除了防火墙,还应配置服务本身只监听必要的接口和端口。
1. SSH服务限制:
编辑 /etc/ssh/sshd_config:
Port 22
ListenAddress 192.168.1.100 # 只监听内网IP,不监听0.0.0.0
重启服务:
systemctl restart sshd
2. Web服务(如Nginx):
在配置文件中指定监听地址:
server {
listen 192.168.1.100:80;
server_name example.com;
}
这样即使防火墙配置有误,服务也不会暴露在公网。
检查端口监听状态
配置完成后,验证哪些端口正在监听:
ss -tuln
# 或使用 netstat(需安装net-tools)
netstat -tulnp
输出示例:
tcp 0 0 192.168.1.100:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
确认敏感服务未绑定到0.0.0.0(所有接口),必要时调整绑定地址。
基本上就这些。关键是结合防火墙和服务配置双重限制,最小化暴露面。定期审查开放端口,及时关闭不用的服务。安全无小事,细节决定成败。
以上就是Linux如何限制服务端口_Linux服务端口限制的详细配置教程的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/194401.html
微信扫一扫 
支付宝扫一扫 
