linux 打开和关闭端口

netstat -nupl (UDP类型的端口)

netstat -ntpl (TCP类型的端口)

你可以使用 lsof 命令来查看某一端口是否开放。查看端口可以这样来使用，我就以80端口为例：

lsof -i:80

如果有显示说明已经开放了，如果没有显示说明没有开放。

或者

查看哪些端口被打开  netstat -anp |grep 端口号

关闭端口号:iptables -A INPUT -p tcp --drop 端口号 -j DROP

iptables -A OUTPUT -p tcp --dport 端口号 -j DROP

打开端口号：iptables -A INPUT -ptcp --dport  端口号 -j ACCEPT

1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。

下面是命令实现：

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

再用命令 iptables -L -n 查看 是否设置好， 好看到全部 DROP 了

这样的设置好了，我们只是临时的， 重启服务器还是会恢复原来没有设置的状态

还要使用 service iptables save 进行保存

看到信息 firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables

可以打开文件查看 vi /etc/sysconfig/iptables

2、

下面我只打开22端口，看我是如何操作的，就是下面2个语句

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT

再查看下 iptables -L -n 是否添加上去, 看到添加了

Chain INPUT (policy DROP)

target     prot opt source               destination

ACCEPT     tcp  –  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy DROP)

target     prot opt source               destination

Chain OUTPUT (policy DROP)

target     prot opt source               destination

ACCEPT     tcp  –  0.0.0.0/0            0.0.0.0/0           tcp spt:22

现在Linux服务器只打开了22端口，用putty.exe测试一下是否可以链接上去。

可以链接上去了，说明没有问题。

最后别忘记了保存 对防火墙的设置

通过命令：service iptables save 进行保存

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT

针对这2条命令进行一些讲解吧

-A 参数就看成是添加一条 INPUT 的规则

-p 指定是什么协议 我们常用的tcp 协议，当然也有udp 例如53端口的DNS

到时我们要配置DNS用到53端口 大家就会发现使用udp协议的

而 –dport 就是目标端口 当数据从外部进入服务器为目标端口 反之 数据从服务器出去 则为数据源端口 使用 –sport -j 就是指定是 ACCEPT 接收 或者 DROP 不接收

WINDOWS系统一般可以设置关闭哪些端口，而不能设置只开哪些端口的。

在开始-->运行里输入 netstat -a，可以看到你的计算机上开了哪些端口。

如何关闭端口：

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。

“控制面板”的“管理工具”中的“服务”中来配置。

1、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过Internet 信息服务的管理单元提供 Web 连接和管理。

2、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。

3、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP连接和管理。

4、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

5、还有一个很重要的就是关闭server服务，此服务提供 RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

6、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。

关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

现在许多中小用户因业务发展，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，服务器端大多采用 Linux系统的，而PC端使用Windows系统。所以在企业应用中往往是Linux/Unix和Windows操作系统共存形成异构网络。中小企业由于缺少经验丰富的Linux网络管理员和安全产品采购资金，所以对于网络安全经常缺乏缺乏全面的考虑。笔者将从服务器安全和网络设备的安全等来解决企业的烦恼。

关闭无用的端口

任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。

首先检查你的nf文件。inetd在某些端口上守侯，准备为你提供必要的服务。如果某人开发出一个特殊的inetd守护程序，这里 就存在一个安全隐患。你应当在nf文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而telnet建议你使用更为安全的ssh来代替， 然后杀掉lnetd进程。这样inetd不再监控你机器上的守护程序，从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描程序扫描你的系 统，如果发现有你不知道的开放端口，马上找到正使用它的进程，从而判断是否关闭它们。