centos7 防火墙没开端口还可以ssh问题

w635530219

centos7查看防火墙没有打开ssh的22端口，为什么可以ssh登陆上来？哪位大佬能给解释下吗

[root@test ~]# firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports: 12399/tcp 12399/udp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

plumn

firewalld的防火墙策略是zone{service{port，升级了，针对不同网络环境，默认是public互联网公开zone，对应开启默认的dhcpv6-client 和ssh 这两个service，然后才是普通的port端口设置，具体使用入门我有视频教程，不过怕被ddcc不发了，百度一下很多介绍

zhbrcn

services: dhcpv6-client ssh

w635530219

plumn 发表于 2018-12-25 14:13
firewalld的防火墙策略是zone{service{port，升级了，针对不同网络环境，默认是public互联网公开zone，对应 ...

好的，我百度查查。谢谢大佬

liihone

vi /usr/lib/firewalld/services/ssh.xml

韧体就是我

你防火墙规则里明明有ssh服务啊。CentOS防火墙默认开启ssh服务

moowee

liihone 发表于 2018-12-25 14:26
vi /usr/lib/firewalld/services/ssh.xml

这么说，默认开了这么多端口啊

# cd /usr/lib/firewalld/services/
# ls
amanda-client.xml        https.xml         nfs3.xml                  sip.xml
amanda-k5-client.xml     http.xml          nfs.xml                   smtp-submission.xml
bacula-client.xml        imaps.xml         nmea-0183.xml             smtps.xml
bacula.xml               imap.xml          nrpe.xml                  smtp.xml
bgp.xml                  ipp-client.xml    ntp.xml                   snmptrap.xml
bitcoin-rpc.xml          ipp.xml           open扶墙.xml               snmp.xml
bitcoin-testnet-rpc.xml  ipsec.xml         ovirt-imageio.xml         spideroak-lansync.xml
bitcoin-testnet.xml      ircs.xml          ovirt-storageconsole.xml  squid.xml
bitcoin.xml              irc.xml           ovirt-vmconsole.xml       ssh.xml
ceph-mon.xml             iscsi-target.xml  pmcd.xml                  syncthing-gui.xml
ceph.xml                 jenkins.xml       pmproxy.xml               syncthing.xml
cfengine.xml             kadmin.xml        pmwebapis.xml             synergy.xml
condor-collector.xml     kerberos.xml      pmwebapi.xml              syslog-tls.xml
ctdb.xml                 kibana.xml        pop3s.xml                 syslog.xml
dhcpv6-client.xml        klogin.xml        pop3.xml                  telnet.xml
dhcpv6.xml               kpasswd.xml       postgresql.xml            tftp-client.xml
dhcp.xml                 kprop.xml         privoxy.xml               tftp.xml
dns.xml                  kshell.xml        proxy-dhcp.xml            tinc.xml
docker-registry.xml      ldaps.xml         ptp.xml                   tor-socks.xml
docker-swarm.xml         ldap.xml          pulseaudio.xml            transmission-client.xml
dropbox-lansync.xml      libvirt-tls.xml   puppetmaster.xml          upnp-client.xml
elasticsearch.xml        libvirt.xml       quassel.xml               vdsm.xml
freeipa-ldaps.xml        managesieve.xml   radius.xml                vnc-server.xml
freeipa-ldap.xml         mdns.xml          redis.xml                 wbem-https.xml
freeipa-replication.xml  minidlna.xml      RH-Satellite-6.xml        xmpp-bosh.xml
freeipa-trust.xml        mongodb.xml       rpc-bind.xml              xmpp-client.xml
ftp.xml                  mosh.xml          rsh.xml                   xmpp-local.xml
ganglia-client.xml       mountd.xml        rsyncd.xml                xmpp-server.xml
ganglia-master.xml       mssql.xml         samba-client.xml          zabbix-agent.xml
git.xml                  ms-wbt.xml        samba.xml                 zabbix-server.xml
gre.xml                  murmur.xml        sane.xml
high-availability.xml    mysql.xml         sips.xml

liihone

moowee 发表于 2018-12-25 14:44
这么说，默认开了这么多端口啊

# cd /usr/lib/firewalld/services/

# firewall-cmd --zone=public --list-all
查看
services: dhcpv6-client ssh

moowee

liihone 发表于 2018-12-25 14:53
# firewall-cmd --zone=public --list-all
查看
services: dhcpv6-client ssh

services: ssh dhcpv6-client

这样看services确实只有2项，是什么控制着/usr/lib/firewalld/services/下这么多项，只生效这两项呢。

liihone

moowee 发表于 2018-12-25 15:00
services: ssh dhcpv6-client

这样看services确实只有2项，是什么控制着/usr/lib/firewalld/services/ ...

firewall-cmd --add-service=http --permanent
firewall-cmd --remove-service=http --permanent