端口号规则

端口号规则

1. 端口的定义

端口概念 在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。

二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。 端口分类 逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类： 1. 按端口号分布划分 （1）知名端口（Well-Known Ports） 知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。

比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。 （2）动态端口（Dynamic Ports） 动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。

只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。 不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按协议类型划分 按协议类型划分，可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口： （1）TCP端口 TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。

常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。 （2）UDP端口 UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。

常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。 查看端口 在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令： 依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。

在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态（如图）。 小知识：Netstat命令用法 命令格式：Netstat -a -e -n -o -s -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。

-e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。

-o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。 -s 表示按协议显示各种连接的统计信息，包括端口号。

关闭/开启端口 在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

关闭端口 比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。

这样，关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

2. 如何设置Windows系统端口规则

Windows7防火墙功能功能较visitaxp更加完善系统防火墙已经系统或缺部所Windows 7自带系统防火墙都应该关掉保护用户远离入侵道屏障启用防火墙系统默认系统端口往往关闭想放些端口该何设置呢面简单介绍何设置Windows 7 防火墙端口规则/步骤：1、点击【始】按钮弹菜单点击【控制面板】项2、弹控制面板窗口点击【windows防火墙】3、弹窗口左侧点击【高级设置】进入高级安全windows防火墙设置项4、要想设置防火墙策略其实主要针端口入站站规则进行设置告诉系统哪门（端口）让（链接）何进策略我要设置入站战规则点击左侧【入站规则】点击右侧【操作】项【新建规则】按钮弹窗口5、选【端口】点击步6、选【TCP】并选【特定本端口】面输入框输入端口号1012点击步7、选指定操作【允许连接】点击步8、选择规则应用网络默认全部选采用默认即点击步9、新建规则起名并做相应描述点击完返windows防火墙设置窗口点击【入站规则】项看我新建防火墙入站规则网络连接般都双向所我仅仅设置入站规则够需要设置战规则继续往看战规则设置其实入站规则设置点击【战规则】项再点击右侧【新建规则】弹窗口重复5-9步骤即创建战规则至针端口防火墙规则建立完毕。

3. 如何设置Windows 7 防火墙端口规则

在Windows 7系统的电脑上搭建WAMP环境后，发现在局域网中其他电脑不能访问。这可能是因为当时Windows 7自带的防火墙屏蔽了80端口，只需要重新设置规则就可以了。

操作方法：

1、点击Win7系统桌面左下方的圆形开始按钮，依次打开Win7系统的“控制面板→系统和安全→Windows防火墙”，点击左侧菜单中的“高级设置”。

2、在“高级安全Windows防火墙”设置面板中，鼠标右键点击“入站规则”，从弹出菜单中点击“新建规则”。

3、在“要创建的规则类型”中，点选“端口”，下一步，选择“TCP”，点选“特定本地端口”后填入端口号80。

4、点击“下一步”，点选“允许连接”，再点“下一步”，根据用户的实际情况和需求勾选域、专用或共用等选项，最后为这个规则命名，

根据具体需求勾选域、专用或共用等选项

设置完成之后，其他计算机就可以顺利访问Win7系统了。

4. 电脑端口的命名有没有规则的

端口号就是你电脑端口所命名的号码，例如80端口就是通讯端口等等。

为什么要获取他人的端口号？每个端口的用处都是固定的。例如3387端口就是用来远程控制别人电脑的 具体的如下： 计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。

其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

按端口号可分为3大类： （1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。

例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。

它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。

例如：许多系统处理动态端口从1024左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。

理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。

但也有例外：SUN的RPC端口从32768开始。 一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，以下是计算机端口的介绍以及防止被黑客攻击的简要办法。

8080端口 端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“：8080”端口号，比如.cn:8080。 端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。

另外，RemoConChubo,RingZero木马也可以利用该端口进行攻击。 操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

端口：21 服务：FTP 说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。

这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22 服务：Ssh 说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23 服务：Telnet 说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。

还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25 服务：SMTP 说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。

入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：80 服务：HTTP 说明：用于网页浏览。木马Executor开放此端口。

端口：102 服务：Message transfer agent(MTA)-X.400 over TCP/IP 说明：消息传输代理。 端口：109 服务：Post Office Protocol -Version3 说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。

POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。

成功登陆后还有其他缓冲区溢出错误。 端口：110 服务：SUN公司的RPC服务所有端口 说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口：119 服务：Network News Transfer Protocol 说明：NEWS新闻组传输协议，承载USENET通信。

这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。

打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。 端口：135 服务：Location Service 说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。

这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。

远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139 服务：NETBIOS Name Service 说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：161 服务：SNMP 说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。

许多管理员的错误配置将。

5. 交换机端口的命名规则

原发布者：hhxcr

H3C交换机命名规则A列：产品品牌B列：产品系列S — 交换机 SR —业务路由器C列：子产品系列 9 — 核心机箱式交换机 7 — 高端机箱式交换机 5 — 全千兆盒式交换机 3 — 千兆上行/百兆下行盒式交换机D列：是否带路由功能>=5 — 三层交换机<5 — 二层交换机E列：用于区别同一型号的多个系列 例如00/10/20F列：中低端交换机表示可用端口数G列：上行接口类型 C — 扩展插槽上行 P — 千兆SFP光口上行 T — 千兆电口上行 TP— 光电复用 F — 全光口 M— 支持MCE功能 R — 冗余（soho级别中后缀R代表机架交换机）H 列：业务特性 HI — 旗舰型 SI — 标准型 EI — 增强型 LI — 精简型PWR-SI — 支持POE的标准型PWR-EI — 支持POE的增强型

6. tp

经由这个端口的数据直接发向绑定的IP

比如，你在本机做了一个主页。你要想外网的用户能访问。

那么你可以这么设置：

端口号：80 xx-xx 你也可以写为80-82也就是将80 81 82端口都打开

IP地址：就填写你当前局域网的IP地址，比如：192.168.1.5 （通过ipconfig命令可以查看到）

协议：选择TCP 如果不知道选啊个，就用“ALL”

状态：生效----就是开启的意思

这样，外网通过输入：上的其他主机访问路由器后的LAN里的PC用的。

7. 远程桌面的端口号可以任意修改吗

远程桌面默认端口是3389,WINDOWS端口范围在0~65535之间随便你设置！

要修改默认端口

修改数值的话需要修改注册表的两个地方：

第一个地方：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

TerminalServer\Wds\rdpwd\Tds\tcp] PortNumber值，默认是3389，修改成所希望的端口，比如6000。

第二个地方：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Control\Terminal Server\WinStations\RDP-Tcp]

PortNumber值，默认是3389，修改成所希望的端口，比如6000。

现在这样就可以了。重启系统就可以了.

小贴士：

如果设置了端口过滤，具体是在tcp/ip的属性设置里头有个“高级”按键，然后点里面最后一个“选项”按钮，在tpc/ip筛选里面，请一定允许更改过的远程端口，比如6000，不然远程不上哦。

设置完成后连接远程时必须加上端口号，比如：202.100.101.220:6000。

8. 如何设置Windows 7 防火墙端口规则

点击【开始】按钮在弹出的菜单中点击【控制面板】项：在弹出的控制面板窗口中，点击【windows防火墙】：在弹出的窗口左侧中点击【高级设置】，进入高级安全windows防火墙设置项：设置防火墙策略其实主要是针对端口的入站和出站规则进行设置，也就是告诉系统哪个门（端口）可以让什么样的人（链接），如何进出的策略，因此要设置入站和出战规则，点击左侧【入站规则】，然后点击右侧【操作】项中的【新建规则】按钮，弹出窗口： 选中【端口】点击下一步：选中【TCP】，并选中【特定本地端口】在后面的输入框中输入端口号，如1012点击下一步：选中指定的操作为【允许连接】点击下一步：选择规则应用的网络，默认是全部选中的，采用默认即可，点击下一步；为新建的规则起名并做相应的描述，点击完成；此时返回windows防火墙设置窗口，点击【入站规则】项，可以看到新建的防火墙入站规则，因为网络的连接一般都是双向的所以仅仅设置入站规则是不够的，还需要设置出站规则；出站规则的设置其实和入站规则的设置是一样，点击【出站规则】项，再点击右侧的【新建规则】，在弹出的窗口中重复5-9步骤即可创建出站规则，至此针对一个端口开放的防火墙规则就建立完成了。

9. 如何设置Windows 7 防火墙端口规则

方法/步骤 1 点击【开始】按钮在弹出的菜单中点击【控制面板】项 2 在弹出的控制面板窗口中，点击【windows防火墙】 3 在弹出的窗口左侧中点击【高级设置】，进入高级安全windows防火墙设置项 4 要想设置防火墙策略其实主要是针对端口的入站和出站规则进行设置，也就是告诉系统哪个门（端口）可以让什么样的人（链接），如何进出的策略，因此我们要设置入站和出战规则，点击左侧【入站规则】，然后点击右侧【操作】项中的【新建规则】按钮，弹出窗口。

5 选中【端口】点击下一步 6 选中【TCP】，并选中【特定本地端口】在后面的输入框中输入端口号，如1012点击下一步 7 选中指定的操作为【允许连接】点击下一步 8 选择规则应用的网络，默认是全部选中的，采用默认即可，点击下一步 9 为新建的规则起名并做相应的描述，点击完成 10 此时返回windows防火墙设置窗口，点击【入站规则】项，可以看到我们新建的防火墙入站规则，因为网络的连接一般都是双向的所以我们仅仅设置入站规则是不够的，还需要设置出战规则，继续往下看 11 出战规则的设置其实和入站规则的设置是一样，点击【出战规则】项，再点击右侧的【新建规则】，在弹出的窗口中重复5-9步骤即可创建出战规则，至此针对一个端口的防火墙规则建立完毕。

SSH 协议端口号 22 背后的故事

为什么 SSH（安全终端）的端口号是 22 呢，这不是一个巧合，这其中有个我（Tatu Ylonen，SSH 协议的设计者）未曾诉说的故事。 -- Tatu Ylonen

本文导航

-将 SSH 协议端口号设为 22 的故事 …… 02%

-如何更改 SSH 服务的端口号 …… 49%

-配置 SSH 协议穿越防火墙 …… 57%

-出站的 SSH 连接 …… 60%

-反向通道是有风险的 …… 64%

-入站的 SSH 访问 …… 79%

-通过 iptables 服务限制 SSH 访问 …… 86%

编译自： https://www.ssh.com/ssh/port

作者： Tatu Ylonen

译者： kenxx

为什么 SSH[1]（安全终端）的端口号是 22 呢，这不是一个巧合，这其中有个我（Tatu Ylonen[2]，SSH 协议的设计者）未曾诉说的故事。

将 SSH 协议端口号设为 22 的故事

1995 年春我编写了 SSH 协议的最初版本，那时候 telnet[3] 和 FTP[4] 正被广泛使用。

当时我设计 SSH 协议想着是为了替代 telnet（端口 23）和 ftp（端口21）两个协议的，而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢？我未曾拥有过任何一个端口号，但我却认识几个拥有端口号的人！

在那时取得端口号的事情其实说来挺简单的。毕竟当时的因特网（Internet）并不是很大，是因特网爆炸的早期。端口号分配的活儿是 IANA（Internet Assigned Numbers Authority，互联网数字分配机构）干的。在那时这机构可相当于是因特网先驱 Jon Postel[5] 和 Joyce K. Reynolds[6] 一般的存在。Jon 参与编写了多项主要的协议标准，例如 IP（RFC 791）、ICMP（RFC 792）和 TCP（RFC 793）等一些你应该早有耳闻的协议。

我可以说是敬畏 Jon 先生的，他参与编写了几乎所有主要的因特网标准文档（Internet RFC）！

1995 年 7 月，就在我发布 ssh-1.0 前，我发送了一封邮件给 IANA：

From ylo Mon Jul 10 11:45:48 +0300 1995

From: Tatu Ylonen <ylo@cs.hut.fi>

To: Internet Assigned Numbers Authority <iana@isi.edu>

Subject: 请求取得一个端口号

Organization: 芬兰赫尔辛基理工大学

亲爱的机构成员：

我写了个可以在不安全的网络环境中安全地从一台机器登录到另一台机器的程序。它主要是对现有的 telnet 协议以及 rlogin 协议的功能性提升和安全性改进。说的具体些，就是可以防御 IP、DNS 或路由等欺骗行为。我打算将我的软件免费地发布在因特网上，以得到广泛地使用。

我希望为该软件注册一个特权端口号，要是这个端口号在 1 到 255 之间就更好了，这样它就可以用在名字服务器的 WKS 字段中了。

我在附件中附上了协议标准的草案。这个软件已经在本地运行了几个月了，我已准备在获得端口号后就发布。如果端口号分配一事安排的及时，我希望这周就将要发布的软件准备好。我目前在 beta 版测试时使用的端口号是 22，如果要是能够分配到这个端口，我就不用做什么更改了（目前这个端口在列表中还是空闲的）。

软件中服务的名称叫 `ssh`（系 Secure Shell 的缩写）。

您最真诚的，

Tatu Ylonen <ylo@cs.hut.fi>

（LCTT 译注：DNS 协议中的 WKS 记录类型意即“众所周知的业务描述”，是类似于 A、MX 这样的 DNS 记录类型，用于描述某个 IP 所提供的服务，目前鲜见使用。参见： https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。）

第二天，我就收到了 Joyce 发来的邮件：

Date: Mon, 10 Jul 1995 15:35:33 -0700

From: jkrey@ISI.EDU

To: ylo@cs.hut.fi

Subject: 回复：请求取得一个端口号

Cc: iana@ISI.EDU

Tatu,

我们将端口号 22 分配给 ssh 服务了，你目前是该服务的主要联系人。

Joyce

这就搞定了！SSH 的端口正式使用 22！！！

1995 年 7 月 12 日上午 2 点 21 分，我给我在赫尔辛基理工大学的测试者们宣布了 SSH 的最后 beta 版本。当日下午 5 点 23 分，我给测试者们宣布了 ssh-1.0.0 版本。1995 年 7 月 12 日，下午 5 点 51 分，我将一份 SSH（安全终端）的宣告发给了 cypherpunks@toad.com 的邮件列表，此外我还将其发给了一些新闻组、邮件列表和一些在因特网上讨论相关话题的人们。

如何更改 SSH 服务的端口号

SSH 服务器是默认运行在 22 号端口上的。然而，由于某些原因需要，它也可以运行在别的端口上。比如为了方便测试使用，又比如在同一个宿主机上运行多个不同的配置。当然，极少情况下，不使用 root 权限运行它也可以，比如某些必须运行在非特权的端口的情况（端口号大于等于 1024）。

端口号可以在配置文件 /etc/ssh/sshd_config[7] 中将 Port 22 更改。也可以使用 -p <port> 选项运行 sshd[8]。SSH 客户端和 sftp[9] 程序也可以使用 -p <port> 选项。

配置 SSH 协议穿越防火墙

SSH 是少数通常被许可穿越防火墙的协议之一。通常的做法是不限制出站的 SSH 连接，尤其常见于一些较小的或者比较技术型的组织中，而入站的 SSH 连接通常会限制到一台或者是少数几台服务器上。

出站的 SSH 连接

在防火墙中配置出站的 SSH 连接十分简单。如果完全限制了外发连接，那么只需要创建一个允许 TCP 端口 22 可以外发的规则即可。如果你想限制目标地址，你可以限制该规则仅允许访问你的组织放在云端的外部服务器或保护该云端的跳板服务器[10]即可。

反向通道是有风险的

其实不限制出站的 SSH 连接虽然是可以的，但是是存在风险的，SSH 协议是支持 通道访问[11] 的。最初的想法是在外部服务器搭建一个 SSH 服务监听来自各处的连接，将进入的连接转发到组织，并让这个连接可以访问某个内部服务器。

在某些场景下这当然非常的方便。开发者和系统管理员经常使用它打开一个通道以便于他们可以远程访问，比如在家里或者在旅行中使用笔记本电脑等场景。

然而通常来讲这些做法是违背安全策略的，跳过了防火墙管理员和安全团队保护的控制无疑是违背安全策略的，比如这些： PCI[12]、HIPAA[13]、NIST SP 800-53[14] 等。它可以被黑客和外国情报机构用来在组织内留下后门。

CryptoAuditor[15] 是一款可以控制通道穿过防火墙或者一组云端服务器入口的产品。该款产品可以配合 通用 SSH 密钥管理器（Universal SSH Key Manager）[16] 来获得对 主机密钥（host keys）[17]的访问，以在启用防火墙并阻挡未授权转发的场景中解密 SSH 会话。

入站的 SSH 访问

对于入站访问而言，这里有几点需要说一下：

配置防火墙，并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ[18] 主机。在该 IP 上运行 CryptoAuditor[19] 或者跳板机来控制和审查所有访问该组织的连接。

在防火墙上使用不同的端口访问不同的服务器。

只允许使用 IPsec[20] 协议这样的 VPN（虚拟专用网）登录后连接 SSH 服务。

通过 iptables 服务限制 SSH 访问

iptables[21] 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 iptables，使用下面的命令将可以允许进入的 SSH 访问，当然命令需要以 root 身份运行。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想将上述命令创建的规则持久地保存，在某些系统版本中，可使用如下命令：

service iptables save

via: https://www.ssh.com/ssh/port

作者：Tatu Ylonen[22] 译者：kenxx 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

[1]: SSH - https://www.ssh.com/ssh/

[2]: Tatu Ylonen - https://www.ssh.com/people/tatu-ylonen

[3]: telnet - https://www.ssh.com/ssh/telnet

[4]: FTP - https://www.ssh.com/ssh/ftp/

[5]: Jon Postel - https://en.wikipedia.org/wiki/Jon_Postel

[6]: Joyce K. Reynolds - https://en.wikipedia.org/wiki/Joyce_K._Reynolds

[7]: /etc/ssh/sshd_config - https://www.ssh.com/ssh/sshd_config/

[8]: sshd - https://www.ssh.com/ssh/sshd/

[9]: sftp - https://www.ssh.com/ssh/sftp/

[10]: 跳板服务器 - https://www.ssh.com/iam/jump-server

[11]: 通道访问 - https://www.ssh.com/ssh/tunneling/

[12]: PCI - https://www.ssh.com/compliance/pci/

[13]: HIPAA - https://www.ssh.com/compliance/hipaa/security-rule

[14]: NIST SP 800-53 - https://www.ssh.com/compliance/nist-800-53/

[15]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/

[16]: 通用 SSH 密钥管理器（Universal SSH Key Manager） - https://www.ssh.com/products/universal-ssh-key-manager/

[17]: 主机密钥（host keys） - https://www.ssh.com/ssh/host-key

[18]: DMZ - https://en.wikipedia.org/wiki/DMZ_(computing)

[19]: CryptoAuditor - https://www.ssh.com/products/cryptoauditor/

[20]: IPsec - https://www.ssh.com/network/ipsec/

[21]: iptables - https://en.wikipedia.org/wiki/Iptables

[22]: Tatu Ylonen - https://www.ssh.com/ssh/port