我已经创建了一个脚本来安装和配置Centos 7上的firewalld.

大多数规则都正常工作,但在运行nmap扫描时,SSH端口仍显示为Open.我知道这不是什么大不了的事情,改变端口只是默默无闻的安全,但想知道原因.

firewall-cmd --zone=dmz --add-masquerade --permanent

firewall-cmd --zone=dmz --add-interface=eth0

firewall-cmd --zone=internal --add-port=${MONGO}/tcp --permanent

firewall-cmd --zone=internal --add-port=${CHAT}/tcp --permanent

firewall-cmd --zone=internal --add-port=${NFS_CLIENT}/tcp --permanent

firewall-cmd --zone=internal --add-port=${NODE_EX}/tcp --permanent

firewall-cmd --zone=dmz --add-forward-   port=port=${22}:proto=tcp:toport=${22123} --permanent

firewall-cmd --zone=dmz --add-port=${RSSH}/tcp --permanent --permanentStarting Nmap 7.40 ( https://nmap.org ) at 2017-10-04 17:33 BSTNmap scan report for Host is up (0.45s latency).Not shown: 997 filtered ports
PORT     STATE  SERVICE22/tcp   open   ssh8083/tcp open   us-srv8086/tcp closed d-s-n


sudo firewall-cmd --list-all
dmz (active)target: defaulticmp-block-inversion: nointerfaces: eth0 eth1
sources: services: ports: 22123/tcp 8086/tcp 8083/tcp
protocols: masquerade: yes
forward-ports: port=22:proto=tcp:toport=22123:toaddr=source-ports: icmp-blocks: rich rules:

欢迎所有想法.谢谢

解决方法:

您仍然需要删除要转发的端口,但转发端口并不会实际关闭它.试试这段代码：

sudo firewall-cmd --permanent --remove-port=22/tcp
firewall-cmd --reload

当您调用sudo firewall-cmd –list-all时,它将不再显示您在列出的端口下删除的端口,转发仍然有效.不幸的是,端口仍将显示为nmap开放.我不认为在不删除端口转发的情况下可以防止这种情况发生.如果我找到解决方案,我会更新我的答案.