centos7
systemctl stop firewalldsystemctl disable firewalld
iptables
- 安装
# 先禁用默认的firewalldsystemctl stop firewalldsystemctl mask firewalld# 再安装yum -y install iptablesyum -y install iptables-services
- 配置:
# 1 先清除已有配置iptables -Fiptables -Xiptables -Z# 2 开放指定的端口(-A和-I参数分别为添加到规则末尾和规则最前面)#允许本地回环接口(即运行本机访问本机)iptables -A INPUT -i lo -j ACCEPT# 允许已建立的或相关连的通行iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT#允许所有本机向外的访问iptables -A OUTPUT -j ACCEPT# 允许访问22端口iptables -A INPUT -p tcp --dport 22 -j ACCEPT#允许访问80端口iptables -A INPUT -p tcp --dport 80 -j ACCEPT#允许访问443端口iptables -A INPUT -p tcp --dport 443 -j ACCEPT#允许FTP服务的21和20端口iptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT#如果有其他端口的话,规则也类似,稍微修改上述语句就行#允许pingiptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT#禁止其他未允许的规则访问(注意:如果22端口未加入允许规则,SSH链接会直接断开。)iptables -A INPUT -j REJECTiptables -A FORWARD -j REJECT# 3 屏蔽IP#屏蔽单个IP的命令是iptables -I INPUT -s 123.45.6.7 -j DROP#封整个段即从123.0.0.1到123.255.255.254的命令iptables -I INPUT -s 123.0.0.0/8 -j DROP#封IP段即从123.45.0.1到123.45.255.254的命令iptables -I INPUT -s 124.45.0.0/16 -j DROP#封IP段即从123.45.6.1到123.45.6.254的命令是iptables -I INPUT -s 123.45.6.0/24 -j DROP# 4 屏蔽或允许某IP访问指定端口#屏蔽某IP访问指定端口,以22端口为例命令是iptables -I INPUT -s 123.45.6.7 -p tcp --dport 22 -j DROP#允许某IP访问指定端口,以22端口为例命令是iptables -I INPUT -p tcp --dport 22 -j DROPiptables -I INPUT -s 123.45.6.7 -p tcp --dport 22 -j ACCEPT# 5 查看已有规则iptables -L -n# 6 删除已有规则# 获取行号iptables -L -n --line-numbers# 删除指定行号规则(以8为例)iptables -D INPUT 8# 7 开机启动systemctl enable iptables# 8 保存规则service iptables save
若有收获,就点个赞吧
0 人点赞
