CentOS7安装iptables防火墙的方法
CentOS7默认的防火墙不是iptables,而是firewalle.
安装iptableiptable-service
#先检查是否安装了iptables serviceiptablesstatus #安装iptables yuminstall-yiptables #升级iptables yumupdateiptables #安装iptables-services yuminstalliptables-services
禁用/停止自带的firewalld服务
#停止firewalld服务 systemctlstopfirewalld #禁用firewalld服务 systemctlmaskfirewalld
设置现有规则
#查看iptables现有规则 iptables-L-n #先允许所有,不然有可能会杯具 iptables-PINPUTACCEPT #清空所有默认规则 iptables-F #清空所有自定义规则 iptables-X #所有计数器归0 iptables-Z #允许来自于lo接口的数据包(本地访问) iptables-AINPUT-ilo-jACCEPT #开放22端口 iptables-AINPUT-ptcp--dport22-jACCEPT #开放21端口(FTP) iptables-AINPUT-ptcp--dport21-jACCEPT #开放80端口(HTTP) iptables-AINPUT-ptcp--dport80-jACCEPT #开放443端口(HTTPS) iptables-AINPUT-ptcp--dport443-jACCEPT #允许ping iptables-AINPUT-picmp--icmp-type8-jACCEPT #允许接受本机请求之后的返回数据RELATED,是为FTP设置的 iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT #其他入站一律丢弃 iptables-PINPUTDROP #所有出站一律绿灯 iptables-POUTPUTACCEPT #所有转发一律丢弃 iptables-PFORWARDDROP
其他规则设定
#如果要添加内网ip信任(接受其所有TCP请求) iptables-AINPUT-ptcp-s45.96.174.68-jACCEPT #过滤所有非以上规则的请求 iptables-PINPUTDROP #要封停一个IP,使用下面这条命令: iptables-IINPUT-s***.***.***.***-jDROP #要解封一个IP,使用下面这条命令: iptables-DINPUT-s***.***.***.***-jDROP
保存规则设定
#保存上述规则 serviceiptablessave
开启iptables服务
#注册iptables服务 #相当于以前的chkconfigiptableson systemctlenableiptables.service #开启服务 systemctlstartiptables.service #查看状态 systemctlstatusiptables.service
解决vsftpd在iptables开启后,无法使用被动模式的问题
1.首先在/etc/sysconfig/iptables-config中修改或者添加以下内容
#添加以下内容,注意顺序不能调换 IPTABLES_MODULES="ip_conntrack_ftp" IPTABLES_MODULES="ip_nat_ftp"
2.重新设置iptables设置
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
以下为完整设置脚本
#!/bin/sh iptables-PINPUTACCEPT iptables-F iptables-X iptables-Z iptables-AINPUT-ilo-jACCEPT iptables-AINPUT-ptcp--dport22-jACCEPT iptables-AINPUT-ptcp--dport21-jACCEPT iptables-AINPUT-ptcp--dport80-jACCEPT iptables-AINPUT-ptcp--dport443-jACCEPT iptables-AINPUT-picmp--icmp-type8-jACCEPT iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT iptables-PINPUTDROP iptables-POUTPUTACCEPT iptables-PFORWARDDROP serviceiptablessave systemctlrestartiptables.service
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。