linux如何限制端口可被访问的区域？

1、查看系统对外开放的端口

netstat -tunlp

把里面的端口全在/etc/sysconfig/iptables文件里配置一下，如果没有这个iptables文件，就创建一个

2、编辑/etc/sysconfig/iptables，如下：

# Generated by iptables-save v1.4.7 on Fri Aug 21 23:24:02 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT

-A INPUT -p udp -m udp --dport 111 -j ACCEPT

-A INPUT -p udp -m udp --dport 631 -j ACCEPT

-A INPUT -p udp -m udp --dport 48894 -j ACCEPT

-A INPUT -p udp -m udp --dport 923 -j ACCEPT

-A INPUT -p udp -m udp --dport 942 -j ACCEPT

-A INPUT -s 192.168.61.163 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -s 192.168.61.164 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -s 1192.168.61.165 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Fri Aug 21 23:24:02 2015

里面还配置了三台相近的服务器所有端口都可以访问

3、配置完之后重启防火墙就可以了

service iptables restart

服务端口：80

当内部服务器访问一个公网域名时，当我们访问一个公网地址的80端口，我们一般做

然后在防火墙上配置策略源地址：内部服务器目标地址：x.x.x.x服务端口：80应用填写网址，然后防火墙做源地址NAT，将内部服务器私网地址转换为公网地址。

公网地址 想要通过域名访问 必须要备案

你ping域名 ，只是域名解析到了你的机器

但是端口 8080 和 80 是未备案 要被封的 。

你试试IP访问

---