iptables 防火牆設定
如果 service iptables save 不能用,安裝
yum install iptables-services如果設定防火牆規則為DROP,一定要把 iptables -A INPUT -p tcp –dport 22 -j ACCEPT 加上。不然ssh如法連線
1、安裝iptables防火牆
怎麼知道系統是否安裝了iptables?執行iptables -V,如果顯示如:iptables v1.3.5
說明已經安裝了iptables。
如果沒有安裝iptables需要先安裝,執行:
yum install iptables-services
在Linux中設定防火牆,以CentOS為例,開啟iptables的配置檔案:
vi /etc/sysconfig/iptables
通過/etc/init.d/iptables status命令查詢是否有開啟80埠,如果沒有可通過兩種方式處理:
1.修改vi /etc/sysconfig/iptables命令新增使防火牆開放80埠
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
2.關閉/開啟/重啟防火牆
/etc/init.d/iptables stop #start 開啟 #restart 重啟
3.永久性關閉防火牆
chkconfig --level 35 iptables off /etc/init.d/iptables stop iptables -P INPUT DROP
4.開啟主動模式21埠
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
5.開啟被動模式49152~65534之間的埠
iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
全部修改完之後重啟iptables:
service iptables restart
你可以驗證一下是否規則都已經生效:
iptables -L
通過文章的介紹,我們清楚的知道了CentOS下配置iptables防火牆的過程,希望大家都能掌握它!
6、清除已有iptables規則
iptables -F 清除預設表filter中的所有規則鏈的規則
iptables -X 清除預設表filter中使用者自定鏈中的規則
iptables -Z
7、開放指定的埠
#允許本地迴環介面(即執行本機訪問本機)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允許192.168.1.111訪問本機所有ip埠(即執行本機訪問本機)
iptables -A INPUT -s 192.168.1.111 -d 0.0.0.0/0 -j ACCEPT
#允許192.168.1.111訪問本機2222埠(即執行本機訪問本機)
iptables -A INPUT -s 192.168.1.111 -p tcp --dport 2222 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#允許所有本機向外的訪問
iptables -A OUTPUT -j ACCEPT
# 允許訪問22埠
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允許訪問80埠
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允許FTP服務的21和20埠
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#如果有其他埠的話,規則也類似,稍微修改上述語句就行
#禁止其他未允許的規則訪問
iptables -A INPUT -j REJECT (注意:如果22埠未加入允許規則,SSH連結會直接斷開。)
iptables -A FORWARD -j REJECT
執行完後,這些配置就像用命令配置IP一樣,重起就會失去作用。必須執行以下命令進行儲存。
/etc/rc.d/init.d/iptables save
或/sbin/service iptables save
8、遮蔽IP#如果只是想遮蔽IP的話“3、開放指定的埠”可以直接跳過。
#遮蔽單個IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整個段即從123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即從123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即從123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
9、檢視已新增的iptables規則
iptables -L -n
v:顯示詳細資訊,包括每條規則的匹配包數量和匹配位元組數
x:在 v 的基礎上,禁止自動單位換算(K、M)
n:只顯示IP地址和埠號,不將ip解析為域名
10、刪除已新增的iptables規則
將所有iptables以序號標記顯示,執行:
iptables -L -n –line-numbers
比如要刪除INPUT裡序號為8的規則,執行:
iptables -D INPUT 8
11、iptables的開機啟動及規則儲存
CentOS上可能會存在安裝好iptables後,iptables並不開機自啟動,可以執行一下:
chkconfig –level 345 iptables on
將其加入開機啟動。
CentOS上可以執行:service iptables save儲存規則。
12 設定訪問策略
- #表的每條鏈後面都有一個預設動作,Chain INPUT (policy ACCEPT),預設動作意思是
- #沒有匹配所以策略的匹配條件時(按序匹配),就執行的動作,可以修改鏈的預設動作
- [[email protected] ~]# iptables -t filter -P INPUT DROP #修改filter表的INPUT鏈的預設動作
- [[email protected] ~]# iptables -L
- Chain INPUT (policy DROP)
- target prot opt source destination
- REJECT tcp -- 192.169.1.0/24 anywhere tcp dpt:http reject-with icmp-port-unreachable
相關推薦
iptables 防火牆設定
如果 service iptables save 不能用,安裝 yum install iptables-services 如果設定防火牆規則為DROP,一定要把 iptables -A INPUT -p tcp –dport 22 -j ACCEPT 加上。不然ssh
ubuntu 14.04/14.10 iptables 防火牆設定
1. 一鍵批處理設定 呆狐狸.凨#!/bin/bash PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/root/bin:~/bin export PATH # Check if use
Linux防火牆iptables規則設定
iptables命令是Linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置。 語法 iptables(選項)(引數) 選項 -t<表&
OpenWrt設定mac地址過濾和使用Iptables防火牆禁止mac地址上網
本文介紹使用OpenWrt限制特定mac地址的方法,一種是使用無線網路的mac地址過濾,一種是使用Iptables防火牆阻止策略。 一。使用mac-filter功能限制mac地址上網 方法1.web介面: 定位到選單Network->wifi,如下圖: 點選相應S
centOS7-iptables防火牆策略設定
公司的客戶主要為國家公安機關和政府等事業單位,今天領導突然說伺服器被客戶檢測出漏洞,需要增加防火牆策略,由於之前伺服器都部署在內部網裡,所以防火牆都關了,臨時抱佛腳,配置一下首先centOS 7預設是 firewalld防火牆,這個防火牆的功能更加強大,還有圖形化管理頁面,但
Linux防火牆(iptables)設定
下面是命令實現:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 檢視 是否設定好, 好看到全部 DROP 了這樣的設定好了,我們只是臨時的, 重啟伺服器還是會恢復原來沒有設定的狀態
Linux下IPTABLES防火牆的設定
安裝linux後(防火牆是開啟狀態),需要檢查防火牆埠 1.iptables防火牆啟動和停止 啟動iptables防火牆時命令列輸入 #service iptables start [[email protected] ~]# service iptab
VPS上iptables防火牆的基本設定
http://www.huzs.net/?p=975 看到有弄IPTABLES沒搞出來的,把我的經驗貼上來,大家分享下! http://www.linuxsir.org/bbs/thread315767.html Debian 配置防火牆 iptables
Linux環境下iptables防火牆基本用法演示
一、簡單新增 兩臺裝置,防火牆關閉,防火牆規則很乾淨,網路通暢。 當啟用防火牆後,iptables -vnL顯示出所有規則,但我們不使用預設規則,清空規則,自己定義 1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾新增),設定
在centos7安裝Tomcat,防火牆設定
沒注意看伺服器環境的centos7,用以前的方式設定防火牆並不行,需要用到firewall 先安裝 yum install firewalld 然後設定允許的tcp埠 firewall-cmd --zone=public --add-port=3306/tc
zabbix監控iptables防火牆狀態之是否有丟棄的包(攻-擊)
概述 之前有介紹通過saltstack統一管理線上防火牆規則,並且是在預設規則為DROP策略下,即意味著,如果沒有明確允許開放或允許出去訪問,則防火牆會拒絕請求;特別是在線上防火牆改造時,可能由於歷史原因不知道開放了那些服務,也不知道機器上的服務是否有出去請求的情況下,此時需要記錄防火牆訪問日誌,並檢視是否
centos7和以前版本的防火牆設定
CentOS6.5檢視防火牆的狀態(centos7之前的版本): [[email protected] ~]$service iptable status 顯示結果: [[email protected] ~]$service iptable status R
oracle伺服器防火牆設定
忙乎了將近三週,終於搞定了。從一開始懷疑是網路的問題,後來覺得不是,可能是應用的問題,發現很可能是資料庫的問題,最後真相大白又回到原點,原來是網路防火牆在搗鬼。行為非常詭異,怎麼想也想不明白,我都沒多少信心準備放棄了,沒想到原因竟然如此簡單。 事情是這樣的,我們開發的系統需要保持和O
CentOS7.3防火牆設定
1、檢視firewall服務狀態 systemctl status firewalld 2、檢視firewall的狀態 firewall-cmd --state 3、開啟、重啟、關閉、firewalld.service服務 # 開啟 service
centos7中防火牆設定
官方文件: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
五分鐘徹底學會iptables防火牆--技術流ken
iptables簡介 IPTABLES 是與最新的 3.5 版本 Linux核心整合的 IP 資訊包過濾系統。如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器, 則該系統有利於在 Linux 系統上更好地控制 IP 資訊包過濾和防火牆配
Linux之Iptables防火牆相關概念和基本操作
iptables概念 一、 iptables的前身叫ipfirewall(核心1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在核心當中的,對資料包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進核心當中,這樣規則才能
iptables防火牆配置
iptables命令: 列出iptables規則:iptables -L -n 列出iptables規則並顯示規則編號:iptables -L -n --line-numbers 列出iptables nat表規則(預設是filter表):ip
iptables防火牆 filter表控制 擴充套件匹配 nat表典型應用
NSD SECURITY DAY04 案例1:iptables基本管理 案例2:filter過濾和轉發控制 案例3:防火牆擴充套件規則 案例4:配置SNAT實現共享上網 1 案例1:iptables基本管理 1.1 問題 本案例要求練習iptables命令的使用,