深入了解CentOS防火墙：轻松查看开放的端口号

FirewallD，作为CentOS 7的默认防火墙管理工具，为用户提供了灵活且强大的防火墙配置环境。许多用户在管理服务器时，都会遇到如何查看防火墙开放的端口号的问题。本文将详细介绍这一过程，帮助您轻松掌握。

firewall-cmd是CentOS 7及以上版本中管理firewalld服务的命令行工具。

查看所有已开放的端口

使用以下命令可以列出所有在公共区域中开放的端口及其协议：

sudo firewall-cmd --list-ports

查看特定区域的开放端口

如果您想查看特定区域的开放端口，可以使用以下命令：

sudo firewall-cmd --zone=<区域名> --list-ports

查看单个端口是否开放

要检查特定端口是否开放，可以使用以下命令：

sudo firewall-cmd --zone=<区域名> --query-port=<端口>/<协议>

除了使用命令行工具外，您还可以直接查看firewalld的配置文件来获取开放的端口信息。

编辑或查看配置文件

配置文件位于以下路径：

/etc/firewalld/zones/public.xml

使用以下命令查看文件内容：

sudo cat /etc/firewalld/zones/public.xml

在这个文件中，您会看到类似的条目，表示开放的端口。

虽然ss或netstat命令不直接显示防火墙规则，但它们可以显示当前系统上实际监听的端口，有助于确认哪些服务正在运行并且可能已经通过防火墙开放。

使用ss命令

使用以下命令列出所有正在监听的TCP和UDP端口及其对应的服务和进程ID：

sudo ss -tuln

使用netstat命令

确保系统中安装了net-tools包，如果没有安装，可以使用以下命令进行安装：

sudo yum install -y net-tools

然后使用以下命令查看所有监听的端口及其对应的服务和进程ID：

sudo netstat -lnpt

如果您只关心某个特定端口，可以结合grep命令进行过滤，例如查看80端口是否开放：

sudo netstat -lnpt | grep :

Q1: 如果发现某些端口没有按预期开放，可能是什么原因？

A1: 可能的原因包括服务未启动、防火墙规则未添加、SELinux限制等。请确保相关服务已经启动并在运行，使用firewall-cmd命令添加需要的端口规则，并记得使用--permanent参数使更改永久生效，检查SELinux的日志文件以查看是否有相关拒绝记录，并适当调整SELinux策略。

Q2: 如何更改防火墙规则使其立即生效？

A2: 在CentOS中，使用firewall-cmd修改防火墙规则后，通常需要重新加载防火墙服务才能使更改生效。可以使用以下命令重新加载防火墙规则：

sudo firewall-cmd --reload

或者重启防火墙服务：

sudo systemctl restart firewalld

希望本文能帮助您更好地了解如何查看CentOS防火墙开放的端口号。如果您有任何问题，欢迎留言讨论，让我们一起学习进步。