防火墙配置
CentOS 7默认使用的是firewall作为防火墙,这里改为iptables防火墙。
firewall操作:
# service firewalld status #查看防火墙状态
(disabled 表明 已经禁止开启启动 enable 表示开机自启,inactive 表示防火墙关闭状态 activated(running)表示为开启状态)
# service firewalld start 或者 #systemctl start firewalld.service;#开启防火墙
# service firewalld stop 或者 #systemctl stop firewalld.service;#关闭防火墙
# service firewalld restart 或者 #systemctl restart firewalld.service; #重启防火墙
# systemctl disable firewalld.service #禁止防火墙开启自启
# systemctl enable firewalld #设置防火墙开机启动
#yum remove firewalld #卸载firewall
禁用/停止自带的firewalld服务
systemctl stop firewalld #停止firewalld服务
systemctl mask firewalld #禁用firewalld服务
安装iptables防火墙及操作:
service iptables status #先检查是否安装了iptables
yum install -y iptables #安装iptables
yum update iptables #升级iptables
yum install iptables-services #安装iptables-services
设置现有规则
iptables -L -n #查看iptables现有规则
iptables -P INPUT ACCEPT #先允许所有,不然有可能会杯具
iptables -F #清空所有默认规则
iptables -X #清空所有自定义规则
iptables -Z #所有计数器归0
iptables -A INPUT -i lo -j ACCEPT #允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #开放22端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #开放21端口(FTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #开放443端口(HTTPS)
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #允许ping
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -P INPUT DROP #其他入站一律丢弃
iptables -P OUTPUT ACCEPT #所有出站一律绿灯
iptables -P FORWARD DROP #所有转发一律丢弃
其他规则设定
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #如果要添加内网ip信任(接受其所有TCP请求)
iptables -P INPUT DROP #过滤所有非以上规则的请求
iptables -I INPUT -s ... -j DROP #要封停一个IP,使用下面这条命令:
iptables -D INPUT -s ... -j DROP #要解封一个IP,使用下面这条命令:
保存规则设定
service iptables save #保存上述规则
开启iptables服务
systemctl enable iptables.service #注册iptables服务 相当于以前的chkconfig iptables on
systemctl start iptables.service #开启服务
systemctl status iptables.service #查看状态