centos7.5mini中Firewalld端口不通解決辦法及想法

1、問題

　　接到客戶消息，外網訪問內網虛擬主機的部分端口不通。

　　端口：580、610

---

 

2、思路

　　根據網絡架構找出存在影響端口連通性的緣由

　　1.硬件防火牆

• NAT策略中服務端口的開啓
• 訪問控制列表中對端口的放行/阻斷狀態

　　2.系統防火牆

• 防火牆必須添加相應端口
• 網卡名稱必須添加相應區域
• 端口必須爲監聽狀態

---

 

3、處理過程

　　1.遠程登陸硬件防火牆查看策略信息，發現相應端口是開通狀態

　　2.內網環境中，telnet目標端口，端口不通；

　　因爲測試路徑中，沒有能夠影響到端口連通性的設備及策略，隨即將問題定位在目標主機系統防火牆上

 telnet [ip] port

 　　Centos7.0版本以上默認安裝firewall

　　3.查看firewall-cmd的運行狀態

firewall-cmd --state 

 

　　4.將默認區域設置爲trusted

firewall-cmd --get-default-zone=trusted-permanent

　　5.將相應端口添加到trusted

firewall-cmd --permanent --zone=trusted --add-port=580/tcp

　　將端口成功添加至區域後測試端口發現仍然不通，多是網卡沒有添加到相應區域

　　6.查看網卡文件並將網卡添加到trusted

firewall-cmd --permanent --zone=trusted --change-interface=eth0　　

　　經測試後仍然不通

　　7.使用ip addr 查詢網卡信息，發現網卡名稱與配置文件不一樣

ip addr

　　8.將br0與eth0同時添加到trusted區域中

　　(注意：若是該網卡已經存在一個區域時，必須添加後將firewall stop掉，再start才能夠成功更改，否則即便從新加載firewall也沒法生效)

　　經測試仍然不通

　　查詢資料發現涉及到linux系統的端口連通性取決於3個方面

• 防火牆必須添加相應端口
• 網卡名稱必須添加到相應區域
• 端口必須爲監聽狀態

　　9.使用netstat -tlunp之後發現580並無被監聽

　　(TCP6意思爲監聽ipv6地址)

netstat -tlunp

　　10.聯繫客戶調試軟件，將軟件監聽端口改成580後測試，telnet端口通，問題解決

---

 

四.總結：

　　1.在虛擬化服務器上ip addr中顯示的網卡名稱爲現使用的網卡名稱

　　2.瞭解影響端口的3個前置條件。

　　3.監聽爲被動的，沒法主動添加監聽端口