2. IT
    3. Linux centos7防火墙配置

    Linux centos7防火墙配置

    xiaoxiao2021-03-25  49

    CentOS7默认的防火墙不是iptables,而是firewalle。

    1、禁用/停止自带的firewalld服务

    #停止firewalld服务

    systemctl stop firewalld

    #禁用firewalld服务

    systemctl mask firewalld

     

    systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)

     

    2、安装iptable iptable-service

    #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables(安装的最新版本则不需要) yum update iptables  #安装iptables-services yum install iptables-services

    3、设置现有规则

    #查看iptables现有规则

    iptables -L -n

    #先允许所有,不然有可能会杯具

    iptables -P INPUT ACCEPT

    #清空所有默认规则

    iptables -F

    #清空所有自定义规则

    iptables -X

    #所有计数器归0

    iptables -Z

    #允许来自于lo接口的数据包(本地访问)

    iptables -A INPUT -i lo -j ACCEPT

    #开放22端口

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    #开放21端口(FTP)

    iptables -A INPUT -p tcp --dport 21 -j ACCEPT

    #开放80端口(HTTP)

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    #开放443端口(HTTPS)

    iptables -A INPUT -p tcp --dport 443 -j ACCEPT

    #允许ping

    iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

    #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

    iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

    #其他入站一律丢弃

    iptables -P INPUT DROP

    #所有出站一律绿灯

    iptables -P OUTPUT ACCEPT

    #所有转发一律丢弃

    iptables -P FORWARD DROP 4、其他规则设定

    #如果要添加内网ip信任(接受其所有TCP请求)

    iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

    #过滤所有非以上规则的请求

    iptables -P INPUT DROP

    #要封停一个IP,使用下面这条命令:

    iptables -I INPUT -s ***.***.***.*** -j DROP

    #要解封一个IP,使用下面这条命令:

    iptables -D INPUT -s ***.***.***.*** -j DROP 5、保存规则设定

    #保存上述规则

    service iptables save 6、开启iptables服务 

    #注册iptables服务

    #相当于以前的chkconfig iptables on

    systemctl enable iptables.service

    #开启服务

    systemctl start iptables.service

    #查看状态

    systemctl status iptables.service

    7、映射端口(如将mysql默认的3306端口映射成1306对外提供服务)

    iptables -t mangle -I PREROUTING -p tcp --dport 1306 -j MARK --set-mark 883306  iptables -t nat -I PREROUTING -p tcp --dport 1306 -j REDIRECT --to-ports 3306  iptables -I INPUT -p tcp --dport 3306 -m mark --mark 883306 -j ACCEPT

     

    7、重启iptables

     

    service iptables restart

     

    8、关闭iptables

    service iptables stop

     

     

    1 关闭防火墙-----service iptables stop  2 启动防火墙-----service iptables start  3 重启防火墙-----service iptables restart  4 查看防火墙状态--service iptables status  5 永久关闭防火墙--chkconfig iptables off  6 永久关闭后启用--chkconfig iptables on

    转载请注明原文地址: https://ju.6miu.com/read-39898.html

    技术

    最新回复(0)