当我们在 Linux 上运行服务时，例如网站、数据库等，我们通常需要将服务所监听的端口开放，以便外部网络可以通过该端口访问该服务。本篇博客将介绍如何在 Linux 上对外开放端口号。

什么是端口号

在计算机网络中，端口是一种虚拟的通信机制，用于区分不同的网络应用程序和服务。每个网络应用程序都可以通过一个端口号来识别，从而在不同的网络连接中与其他应用程序进行区分。

在 TCP/IP 协议中，每个端口都被分配一个数字。例如，Web 服务器默认使用 80 端口，SMTP 服务器默认使用 25 端口，FTP 服务器默认使用 21 端口等。

如何对外开放端口号

在 Linux 中，要对外开放一个端口号，我们需要进行以下步骤：

1. 检查端口是否已经被占用

在开放端口之前，我们需要确保该端口尚未被其他服务占用。可以通过 netstat 命令来检查是否已经存在某个进程在监听该端口。

例如，我们要检查 8080 端口是否已经被占用，可以使用以下命令：

sudo netstat -anp | grep 8080

如果该端口已被占用，输出结果将显示该端口对应的进程 ID 和进程名称。

2. 开放端口

一旦确定了要开放的端口尚未被占用，我们就可以使用 Linux 防火墙来开放该端口。

使用 iptables 命令开放端口

在大多数 Linux 系统中，我们可以使用 iptables 命令来管理防火墙规则。

例如，我们要开放 8080 端口，可以使用以下命令：

sudo iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

该命令将在防火墙规则中添加一条规则，允许 TCP 协议通过 8080 端口进行连接。

使用 firewalld 命令开放端口

在一些新的 Linux 系统中，我们可以使用 firewalld 命令来管理防火墙规则。

例如，我们要开放 8080 端口，可以使用以下命令：

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

该命令将在防火墙规则中添加一条规则，允许 TCP 协议通过 8080 端口进行连接。--permanent 参数将该规则永久性添加到防火墙中。

• 重新加载防火墙规则：sudo firewall-cmd --reload

3. 重启防火墙

无论是使用 iptables 还是 firewalld 命令，都需要在开放端口之后重启防火墙才能使其生效。下面是重启 iptables 和 firewalld 的命令：

重启 iptables：

sudo service iptables restart

重启 firewalld：

sudo systemctl restart firewalld

注意：在使用重启命令之前，请先确定您已经正确地修改了 iptables 或 firewalld 配置文件。如果出现问题，可能会导致您无法访问您的服务器。建议在修改配置文件之前备份。

4. 验证端口是否已开放

在完成端口开放的操作之后，需要验证端口是否已经成功开放。有以下两种方法：

使用 netstat 命令

使用 netstat 命令可以查看当前 Linux 系统中所有开放的端口，以及相应的监听状态和进程信息。以下是使用 netstat 命令查看端口开放情况的命令：

sudo netstat -tuln

该命令会列出所有当前正在监听 TCP 和 UDP 端口的进程信息，包括协议、本地地址、本地端口、外部地址、外部端口以及进程名称等信息。其中，-t 选项表示查看 TCP 端口，-u 选项表示查看 UDP 端口，-l 选项表示查看正在监听的端口，-n 选项表示使用数字显示端口号和 IP 地址，而不使用域名和服务名称。

使用 telnet 命令

另一种验证端口是否开放的方法是使用 telnet 命令。以下是使用 telnet 命令验证端口是否开放的命令：

telnet IP地址 端口号

其中，IP地址表示您的服务器公网 IP 地址，端口号则是您所开放的端口号。如果端口已经开放，则会连接成功，否则会提示连接失败。

例如，如果您的服务器 IP 地址是 192.168.1.100，端口号是 8080，则使用以下命令验证端口是否开放：

telnet 192.168.1.100 8080

如果端口已经开放，则会连接成功。如果提示连接失败，则说明端口没有开放或者防火墙规则配置有误。

5. 配置防火墙

在 Linux 中，可以通过防火墙规则来限制进出网络的流量。如果系统启用了防火墙，需要打开相应的端口才能使其对外可见。

在 CentOS、RedHat 等系统中，可以使用 firewall-cmd 工具来配置防火墙规则。以下是一些常用的命令示例：

• 查看已开放端口：sudo firewall-cmd --list-ports
• 开放端口：sudo firewall-cmd --add-port=8080/tcp --permanent
• 移除端口：sudo firewall-cmd --remove-port=8080/tcp --permanent
• 重新加载防火墙规则：sudo firewall-cmd --reload

在 Ubuntu 等系统中，可以使用 ufw（Uncomplicated Firewall）工具来配置防火墙规则。以下是一些常用的命令示例：

• 查看已开放端口：sudo ufw status
• 开放端口：sudo ufw allow 8080/tcp
• 移除端口：sudo ufw delete allow 8080/tcp

需要注意的是，开放端口时要考虑到安全性问题。如果不是必要的端口，最好不要随意开放。

总结

对于 Linux 系统而言，开放端口号是一项必须要进行的操作。本文简单介绍了如何通过配置网络接口、iptables 和防火墙等方式来对外开放端口号，并提供了一些实例和常用的命令。但是，在进行这些操作时，需要谨慎考虑安全性问题，避免给系统带来潜在的风险。