前言

最近碰到一個問題，某客戶需要從我們的阿里云服務器上下載文件，我們阿里云服務器上提供下載的服務是ftp，端口是默認的21端口，但是客戶那邊死活下不下來。測試一通后發(fā)現，客戶那邊似乎是禁止了對外網21端口的訪問，但是可以訪問外網的其他端口。于是想到了用端口轉發(fā)的方式，嘗試在云端做11121端口轉發(fā)到21端口，該客戶訪問云端的11121端口下載文件，不影響正在使用ftp服務的其他人。

其實Linux系統(tǒng)的iptables和firewalld防火墻都具備端口轉發(fā)的功能，但是由于阿里云本來就有安全組的配置，我們服務器上的防火墻就沒有啟動了。

第一步 配置阿里云安全組

通過阿里云控制臺，把11121端口加到安全組中，這一步的作用是允許訪問云端的11121端口。沒有這一步的話，其他機器是連接不到云端的11121端口的。只配11121是因為其他正在用的端口是以前就已經配置過了。

控制臺–>實例–>安全組，然后選擇具體的安全組進去，

進去之后手動添加–>添加端口–>添加源–>保存

這樣，阿里云的安全組就配置完成了。

第二步 打開防火墻

云服務器操作系統(tǒng)是CentOS7，自帶的防火墻服務是firewalld，直接用

1. systemctl start firewalld

命令就可以了，當然，得有超級用戶權限，用root用戶操作。

使用 systemctl status firewalld 查看防火墻狀態(tài)，上圖中綠字active (running)就是防火墻正在運行了。

第三步 配置防火墻開放端口

我這里防火墻打開的時候默認ssh服務是允許的，還需要將云服務器對外提供服務的端口都開放，我們對外開放的端口只有21、80、8080和8090。使用命令:

1. firewall-cmd --add-port=21/tcp --permanent
2. firewall-cmd --add-port=80/tcp --permanent
3. firewall-cmd --add-port=8080/tcp --permanent
4. firewall-cmd --add-port=8090/tcp --permanent

依次將用到的端口開放，–permanent的作用是使策略永久生效，沒有此參數重啟后失效。

第四步 配置防火墻端口轉發(fā)

以下命令將11121端口的流量轉到21端口：

1. firewall-cmd --add-forward-port=port=11121:proto=tcp:toport=21 --permanent

如下圖：

第五步 防火墻重新加載配置

以下命令重新加載防火墻配置：

1. firewall-cmd --reload

當然也可以systemctl restart firewall，直接重啟防火墻。

至此全部配置完成，以下命令

1. firewall-cmd --list-all

查看狀態(tài)：

本文鏈接：http://m.51huadong.com/cloundnews/11007445.html