zoukankan      html  css  js  c++  java

  • CentOS7安装iptables防火墙

    转载请注明出处:http://blog.csdn.net/l1028386804/article/details/50779761

    CentOS7默认的防火墙不是iptables,而是firewalle.

    安装iptable iptable-service

    #先检查是否安装了iptables 
service iptables status 
#安装iptables 
yum install -y iptables 
#升级iptables 
yum update iptables  
#安装iptables-services 
yum install iptables-services

    禁用/停止自带的firewalld服务

    #停止firewalld服务 
systemctl stop firewalld 
#禁用firewalld服务 
systemctl mask firewalld

    设置现有规则

    #查看iptables现有规则 
iptables -L -n 
#先允许所有,不然有可能会杯具 
iptables -P INPUT ACCEPT 
#清空所有默认规则 
iptables -F 
#清空所有自定义规则 
iptables -X 
#所有计数器归0 
iptables -Z 
#允许来自于lo接口的数据包(本地访问) 
iptables -A INPUT -i lo -j ACCEPT 
#开放22端口 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
#开放21端口(FTP) 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
#开放80端口(HTTP) 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
#开放443端口(HTTPS) 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
#允许ping 
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的 
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT 
#其他入站一律丢弃 
iptables -P INPUT DROP 
#所有出站一律绿灯 
iptables -P OUTPUT ACCEPT 
#所有转发一律丢弃 
iptables -P FORWARD DROP

    其他规则设定

    #如果要添加内网ip信任(接受其所有TCP请求) 
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT 
#过滤所有非以上规则的请求 
iptables -P INPUT DROP 
#要封停一个IP,使用下面这条命令: 
iptables -I INPUT -s ***.***.***.*** -j DROP 
#要解封一个IP,使用下面这条命令: 
iptables -D INPUT -s ***.***.***.*** -j DROP

    保存规则设定

    #保存上述规则 
service iptables save

    开启iptables服务

    #注册iptables服务 
#相当于以前的chkconfig iptables on 
systemctl enable iptables.service 
#开启服务 
systemctl start iptables.service 
#查看状态 
systemctl status iptables.service

    解决vsftpd在iptables开启后,无法使用被动模式的问题

    1.首先在/etc/sysconfig/iptables-config中修改或者添加以下内容

    #添加以下内容,注意顺序不能调换 
IPTABLES_MODULES="ip_conntrack_ftp" 
IPTABLES_MODULES="ip_nat_ftp"

    2.重新设置iptables设置

    iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

    以下为完整设置脚本

    #!/bin/sh 
iptables -P INPUT ACCEPT 
iptables -F 
iptables -X 
iptables -Z 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -P INPUT DROP 
iptables -P OUTPUT ACCEPT 
iptables -P FORWARD DROP 
service iptables save 
systemctl restart iptables.service
  • 相关阅读:
    CF1592F2 Alice and Recoloring 2
    CF1601E Phys Ed Online
    AGC050B Three Coins
    [学习笔记]珂朵莉树(Old Drive Tree)
    CF30E. Tricky and Clever Password
    [学习笔记]替罪羊树
    开源项目MiniOA队员招募通知
    MiniOA开发过程记录(33)自动登录模式
    MiniOA开发过程记录(29)安装Maven
    简易工作流设计思考(欢迎补充和批评)
  • 原文地址:https://www.cnblogs.com/linuxws/p/9178993.html
Copyright © 2011-2022 走看看