Linux下本地端口转发

在Linux下进行本地端口转发处理，可以进行如下 *** 作：

1.确认NetFilter相关驱动编译到内核，并且CONFIG_IP_NF_TARGET_REDIRECT=y；

2.开启转发功能：echo '1' >/proc/sys/net/ipv4/ip_forward；

3.设置转发规则：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8000。

此述命令执行完成后，其他机器访问该机器的80端口服务均会转向为8000端口的服务。

这里说的网络配置主要是centos环境

centOS系统，在/etc/sysconfig/network-scripts目录下找到当前机器的端口文件，文件名通常是ifcfg-网络连接名。

vim 打开编辑，添加修改分配模式，IP地址，掩码，DNS等内容，完整的示例如下：

修改完成后，执行systemctl restart network重启网卡生效。

Ubuntu20配置值静态ip，需要修改/etc/netplan下面找到一个yaml文件，文件名带network的，1-network-manager-all.yaml，这里给出一个配置示例：

（这里用ifconfig或者ip addr命令先看一下自己的网卡编号，我的编号是enpls0）

修改完成后，输入命令：sudo netplan apply使得配置生效

配置完成后ping一下其他机器或者外网网址看一下网络是否通了，配置还是没生效可以尝试重启机器（重启不影响的情况下）。

查看端口信息

netstat -tunlp |grep 端口号 查看指定的端口号的进程情况，如查看8000端口的情况，netstat -tunlp |grep 8000

nmap 127.0.0.1 查看本机开放的端口，会扫描所有端口。

lsof -i:端口号查看端口所在进程-9

启动防火墙

systemctl start firewalld

禁用防火墙

systemctl stop firewalld

设置/禁止开机启动

systemctl enable/disable firewalld

重启防火墙

firewall-cmd --reload

查看状态

systemctl status firewalld / firewalld-cmd --state

查看版本

firewall-cmd --version

查看帮助

firewall-cmd --help

查看区域信息

firewall-cmd --get-active-zones

查看指定接口所属区域信息

firewall-cmd --get-zone-of-interface=eth0

拒绝所有包

firewall-cmd --panic-on

取消拒绝状态

firewall-cmd --panic-off

查看是否拒绝

firewall-cmd --query-panicpor

将接口添加到区域(默认接口都在public)

firewall-cmd --zone=public --add-interface=eth0(永久生效再加上 --permanent 然后reload防火墙)

设置默认接口区域

firewall-cmd --set-default-zone=public(立即生效，无需重启)

更新防火墙规则

firewall-cmd --reload或firewall-cmd --complete-reload(两者的区别就是第一个无需断开连接，就是firewalld特性之一动态添加规则，第二个需要断开连接，类似重启服务)

查看指定区域所有打开的端口

firewall-cmd --list-port

firewall-cmd --zone=public --list-ports

在指定区域打开端口（打开后需要重启防火墙生效）

firewall-cmd --zone=public --add-port=80/tcp(永久生效再加上 --permanent)

参考网址： https://jingyan.baidu.com/article/20b68a88943059796cec622e.html

1. ss命令简介

ss 是 Socket Statistics 的缩写。ss 命令可以用来获取 socket 统计信息，它显示的内容和 netstat 类似。但 ss 的优势在于它能够显示更多更详细的有关 TCP 和连接状态的信息，而且比 netstat 更快。当服务器的 socket 连接数量变得非常大时，无论是使用 netstat 命令还是直接 cat /proc/net/tcp，执行速度都会很慢。ss 命令利用到了 TCP 协议栈中 tcp_diag。tcp_diag 是一个用于分析统计的模块，可以获得 Linux 内核中第一手的信息，因此 ss 命令的性能会好很多。

ss命令简介

2. 常用选项

-h, --help 帮助

-V, --version 显示版本号

-t, --tcp 显示 TCP 协议的 sockets

-u, --udp 显示 UDP 协议的 sockets

-x, --unix 显示 unix domain sockets，与 -f 选项相同

-n, --numeric 不解析服务的名称，如 "22" 端口不会显示成 "ssh"

-l, --listening 只显示处于监听状态的端口

-p, --processes 显示监听端口的进程(Ubuntu 上需要 sudo)

-a, --all 对 TCP 协议来说，既包含监听的端口，也包含建立的连接

-r, --resolve 把 IP 解释为域名，把端口号解释为协议名称

3. 常见用法

如果不添加选项 ss 命令默认输出所有建立的连接(不包含监听的端口)，包括 tcp, udp, and unix socket 三种类型的连接：

3.1 查看前5名的连接：

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port

u_str ESTAB 0 0 * 20040 * 20041

u_str ESTAB 0 0 * 20030 * 20031

u_str ESTAB 0 0 * 20044 * 20043

u_str ESTAB 0 0 /run/dbus/system_bus_socket 18592 * 18591

3.2 查看主机的监听端口

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 127.0.0.1:9016 :

LISTEN 0 128 127.0.0.1:9017 :

LISTEN 0 100 127.0.0.1:25 :

LISTEN 0 128 127.0.0.1:9018 :

LISTEN 0 128 127.0.0.1:1723 :

LISTEN 0 128 127.0.0.1:9019 :

3.3 linux查看tcp连接

ESTAB 0 0 ::1:ssh ::1:53238

ESTAB 0 0 ::1:53278 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53280

ESTAB 0 0 ::1:53288 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53296

ESTAB 0 0 ::1:53294 ::1:ssh

ESTAB 0 0 ::1:48456 ::1:ssh

ESTAB 0 0 ::1:53286 ::1:ssh

ESTAB 0 0 ::1:53292 ::1:ssh

ESTAB 0 0 ::1:ssh ::1:53272

linux查看tcp连接

3.4 解析IP和端口号

使用-r选项

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 my_public_ip:9016 :

LISTEN 0 128 my_public_ip:9017 :

LISTEN 0 100 localhost:smtp :

LISTEN 0 128 my_public_ip:9018 :

LISTEN 0 128 my_public_ip:pptp :

LISTEN 0 128 my_public_ip:9019 :

linux查看监听端口

3.5 输出时带进程名称

使用-p选项

Total: 2340 (kernel 2365)

TCP: 2126 (estab 72, closed 23, orphaned 1, synrecv 0, timewait 2/0), ports 0

Transport Total IP IPv6

3.6 根据条件过滤输出结果

可以通过语法过滤输出结果，根据源IP、源端口、目标IP、目标端口

src源

dst目标

ss dst 172.16.26.33

ss dst 172.16.26.43:http

ss dst 172.16.26.43:443

3.7 根据源端口号范围输出：

根据目标端口号范围输出：

ss dport OP PORT

OP 可以代表以下任意一个：

<=le小于或等于某个端口号 >=ge大于或等于某个端口号==eq等于某个端口号!=ne不等于某个端口号>gt大于某个端口号<lt小于某个端口号

比如：

输出源端口号小于8080的连接状态

或者

3.8 根据TCP 的状态进行过滤

ss命令还可以根据TCP连接的状态进行过滤，支持的 TCP 协议中的状态有：

established

syn-sent

syn-recv

fin-wait-1

fin-wait-2

time-wait

closed

close-wait

last-ack

listening

closing

除了上面的 TCP 状态，还可以使用下面这些状态：

状态输出结果 all输出所有TCP状态。connected输出已经建立连接的TCP状态。synchronized输出同步状态的连接。bucket输出maintained的状态，如：time-wait 和 syn-recv。big输出与bucket相反的状态。

只输出ipv4状态：

只输出ipv6状态：

输出ipv4监听状态：

3.9 根据TCP状态和端口号进行过滤

输入出ipv4协议下的ssh监听状态：

或者

要么使用转义小括号，要么使用单引号

查看所有已经建立TCP三次握手的HTTP连接：

查看所有正在进程的ssh连接：

4. 总结

ss 命令功能丰富并且性能出色，完全可以替代 netsate 命令。已经成为我们日常查看 socket 相关信息的利器。未来netstat已经慢慢被ss取代。

https://www.linuxrumen.com/cyml/821.html

---