Linux防火墙端口开启方法详解

当您在Linux服务器上部署Web或数据库服务后却无法从外部访问，问题往往出在防火墙拦截了入站流量——本文手把手详解如何根据系统环境（firewalld、iptables或规则文件）安全、持久地开放指定端口，并强调禁用冲突防火墙、验证连通性的关键步骤，助您快速排除网络连接障碍，确保服务稳定对外提供。

如果您在Linux系统中部署了Web服务或数据库服务，但外部客户端无法连接对应端口，则很可能是防火墙规则阻止了入站流量。以下是针对不同防火墙工具开启端口的具体操作步骤：

一、使用firewalld开启端口（适用于CentOS 7/RHEL 7+、Fedora等）

firewalld采用区域（zone）模型管理规则，支持永久与临时配置。永久添加端口后必须重载配置才能生效，否则重启即失效。

1、检查firewalld服务是否运行：
sudo systemctl status firewalld

2、若未运行，启动并启用开机自启：
sudo systemctl start firewalld
sudo systemctl enable firewalld

3、永久开放TCP协议的8080端口：
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

4、重新加载防火墙配置以使永久规则生效：
sudo firewall-cmd --reload

5、验证端口是否已加入开放列表：
sudo firewall-cmd --list-ports

二、使用iptables开启端口（适用于CentOS 6、Debian旧版等）

iptables直接操作内核netfilter链，规则默认不持久化，需手动保存至配置文件，否则系统重启后丢失。

1、确认iptables服务状态：
sudo systemctl status iptables

2、如未运行，启动服务：
sudo systemctl start iptables

3、向INPUT链追加允许TCP 8080端口的新连接规则：
sudo iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT

4、插入允许已建立连接及本地回环的必要基础规则（避免锁死SSH）：
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT

5、保存当前规则至持久化文件：
CentOS/RHEL：
sudo service iptables save
Ubuntu/Debian：
sudo netfilter-persistent save

三、通过直接编辑iptables规则文件开启端口（适用于离线或受限环境）

当无法运行iptables命令或服务异常时，可手动修改底层规则文件，绕过命令行工具依赖。

1、备份原始规则文件：
sudo cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak

2、使用文本编辑器打开规则文件：
sudo vi /etc/sysconfig/iptables

3、在*filter段内、COMMIT指令前插入以下行（示例为开放8080端口）：
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

4、保存退出后重启iptables服务：
sudo systemctl restart iptables

四、禁用冲突防火墙以确保iptables生效

若系统同时运行firewalld或ufw，其规则会覆盖或干扰iptables，必须先停用并禁止开机启动。

1、检查firewalld是否活跃：
sudo systemctl is-active firewalld

2、停止并禁用firewalld（CentOS/RHEL）：
sudo systemctl stop firewalld
sudo systemctl disable firewalld

3、检查ufw状态（Ubuntu/Debian）：
sudo ufw status verbose

4、关闭并禁用ufw：
sudo ufw disable
sudo systemctl disable ufw

五、验证端口开放效果

规则部署后需从外部主机验证端口可达性，避免仅本地测试造成误判。

1、在服务器本机检查监听状态：
sudo ss -tuln | grep ':8080'

2、从另一台Linux主机执行连接测试：
nc -zv 服务器IP地址 8080

3、若返回“succeeded”，表示端口已成功开放并可被访问；若超时或拒绝，则需检查网络路由、SELinux策略或云平台安全组设置。

今天关于《Linux防火墙端口开启方法详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！