SecureCRT在Linux中的防火墙规则配置指南
核心说明
- SecureCRT 是终端仿真与 SSH 客户端,不能直接修改 Linux 系统的防火墙;你需要在通过 SecureCRT 登录到目标 Linux 服务器后,使用系统自带的防火墙工具(如 iptables、firewalld、ufw)来配置规则。若只是访问受限资源,也可在 SecureCRT 里用 端口转发/代理 实现“间接访问”,这不会改变服务器防火墙策略。
操作步骤
- 登录服务器:用 SecureCRT 新建会话,协议选 SSH,填写主机、端口(默认 22)、用户名与认证方式,连接进入系统命令行。
- 选择防火墙工具并配置(见下表),完成后验证规则是否生效。
- 重要提示:修改入站规则前务必先放行 SSH 22,或使用 控制台/带外 通道,避免被锁在外面。
常用防火墙工具与命令
| 工具 |
适用系统与场景 |
常用命令示例 |
持久化方法 |
| iptables |
各类 Linux,精细控制 |
查看:sudo iptables -L -n -v;放行 SSH:sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT;放行 HTTP/HTTPS:sudo iptables -A INPUT -p tcp --dport 80,443 -j ACCEPT |
Debian/Ubuntu:iptables-save > /etc/iptables/rules.v4;CentOS/RHEL:service iptables save 或 netfilter-persistent save |
| firewalld |
CentOS/RHEL 7+、Fedora |
查看:firewall-cmd --list-all;放行 SSH:firewall-cmd --permanent --add-service=ssh;放行 HTTP/HTTPS:firewall-cmd --permanent --add-service=http/https;重载:firewall-cmd --reload |
使用 --permanent 参数保存,或 firewall-cmd --runtime-to-permanent |
| ufw |
Debian/Ubuntu 简化管理 |
允许 SSH:sudo ufw allow 22/tcp;允许 HTTP/HTTPS:sudo ufw allow 80,443/tcp;启用:sudo ufw enable;状态:sudo ufw status |
规则默认写入持久配置,启用即生效 |
以上命令用于通过 SecureCRT 会话在服务器上直接执行,完成防火墙规则的查看、添加与持久化。
安全与验证建议
- 规则顺序很重要:更具体的规则(如按 IP/端口 放行)应放在前面,最后再设置默认策略(如 INPUT/OUTPUT/FORWARD 的 DROP/ACCEPT),避免误锁。
- 变更前先备份:iptables 可用 iptables-save 备份当前规则;firewalld 使用 --runtime-to-permanent 固化;ufw 启用前确认状态与规则列表。
- 变更后及时验证:用 iptables -L -n -v 或 firewall-cmd --list-all 核对;从外部实际连接测试(如 curl/浏览器/数据库客户端)确认业务端口可达。
- 远程修改要谨慎:在修改 22 端口或其他关键访问规则前,保持当前会话不中断,或准备控制台/带外通道以便回滚。
仅通过SecureCRT访问内网资源的替代方案
- 若当前需求是“访问被防火墙隔离的内网服务”,可在 SecureCRT 中配置 端口转发/SSH SOCKS 代理,无需改动服务器防火墙:
- 动态端口转发(SOCKS5):在“会话选项 → 端口转发”新增动态转发,本地端口如 1080;随后在 SecureCRT 的“全局选项 → 防火墙”添加 SOCKS 5 类型,主机 127.0.0.1、端口 1080,其他会话选择该防火墙即可通过跳板机访问内网。
- 本地端口转发:将本地端口(如 8080)映射到内网目标主机与端口(如 10.0.0.10:80),访问 http://127.0.0.1:8080 即可到达内网服务。
- 远程端口转发:将服务器端口映射到本地,适用于从内网向外部暴露服务的场景。
- 提示:SOCKS 代理方式便于多端口/多主机访问;本地/远程转发适合点对点映射。
