端口规则
本文将介绍宝塔面板的系统防火墙功能,包括添加、修改、删除端口规则,以及导入/导出规则等。
宝塔面板的系统防火墙功能,可便捷管理服务器端口访问规则,支持添加、修改、删除端口规则,实现对指定端口的访问控制(��允许/拒绝),适用于配置Web服务、数据库、FTP等网络服务的端口放行或屏蔽。
操作步骤
登录宝塔面板并进入防火墙
-
登录宝塔面板,点击左侧导航栏 【安全】 → 【系统防火墙】。
-
查看当前已有的端口规则列表,包括协议、端口、状态、策略、来源等信息。
添加端口规则
入口
点击端口规则区域的 【添加端口规则】 按钮。
配置参数
| 参数 | 说明 |
|---|---|
| 协议 | 选择端口使用的协议(TCP/UDP/TCP/UDP),默认选TCP(如HTTP用TCP,DNS用UDP)。 |
| 端口 | 输入单个端口(如80)或端口范围(如39000-40000),支持逗号分隔多个端口(如80,443)。 |
| 来源 | 所有IP:允许/拒绝所有IP访问。 指定IP:输入单个IP或IP段(如192.168.1.0/24),支持IP范围(如192.168.1.10-192.168.1.20)。 指定域名:企业版专享,输入域名限制访问来源。 |
| 策略 | 选择 允许(放行端口)或 拒绝(屏蔽端口)。 |
| 备注 | 填写端口用途(如“Web服务端口”“FTP被动模式端口”),便于后续管理。 |
示例
-
放行Tomcat服务端口8080:
协议选TCP,端口填8080,来源选“所有IP”,策略选“允许”,备注填“Tomcat服务端口”,点击 【提交】。
生效检查
添加后,规则自动生效。在端口规则列表中查看新规则,状态显示为:
- 正常:端口已被服务占用且放行成功。
- 未使用:端口无服务监听或服务未启动(可忽略或删除)。
- 外网不通:需检查云服务商安全组是否放行、服务是否监听外网IP(见【常见问题】)。
修改/删除端口规则
-
修改:找到目标规则,点击操作栏 【修改】,调整参数后提交。
-
删除:点击操作栏 【删除】,确认后移除规则(谨慎操作,避免影响服务)。
导入/导出端口规则
导出规则
点击端口规则区域的 【导出规则】 按钮,下载规则文件(.txt格式),用于备份或迁移。
导入规则
在目标服务器的防火墙页面,点击 【导入规则】,选择已备份的规则文件,一键批量添加规则(需确保格式正确)。
状态说明与端口管理
端口状态含义
| 状态 | 说明 |
|---|---|
| 正常 | 端口已被服务监听,且防火墙规则生效,访问正常。 |
| 未使用 | 端口无服务监听、服务未启动,或规则已废弃(可删除无用规则)。 |
| 外网不通 | 可能原因: 1. 服务未监听外网IP; 2. 云服务商安全组未放行; 3. 规则未生效(尝试删除重加); 4. 不影响访问时可忽略。 |
常用端口参考
| 端口 | 用途 | 是否需放行 |
|---|---|---|
| 22 | SSH远程管理 | 必须(仅允许可信IP) |
| 80 | HTTP协议默认端口 | 必须(若启用HTTP服务) |
| 443 | HTTPS协议默认端口 | 必须(若启用HTTPS服务) |
| 3306 | MySQL数据库端口 | 按需(建议限制来源IP) |
| 20/21 | FTP主动模式端��口 | 按需(配合被动模式端口范围39000-40000) |
| 888 | phpMyAdmin管理端口 | 按需(建议修改为非默认端口) |
注意事项
- 不同系统防火墙差异:
- CentOS 6:使用
iptables防火墙,面板仅显示通过面板添加的规则。 - CentOS 7+:使用
firewalld防火墙,面板会读取所有规则(包括命令行添加的)。 - Debian/Ubuntu:使用
ufw防火墙,规则同步至系统。
- CentOS 6:使用
- 云服务商安全组:务必在腾讯云、阿里云等控制台放行对应端口,否则防火墙规则可能失效。常用服务器厂商安全组放行方法
- 企业版功能:“指定域名来源”“地区规则”等为企业版专享,需升级后使用。企业版功能对比
常见问题处理
- 端口放行后仍无法访问:
- 检查服务是否正常运行(如
netstat -tunlp | grep 端口号)。 - 确认云服务商安全组已放行相同端口。常用服务器厂商安全组放行方法
- 删除端口规则后重新添加,确保生效。
- 检查服务是否正常运行(如
- 误删关键端口规则:
- 通过“导出规则”提前备份,误删后可快速导入恢复。导入/导出端口规则
- 手动重新添加常用端口(如22、80、443)并设置策略为“允许”。