站长都清楚CentOS 是一个基于Red Hat Linux 提供的可自由使用源代码的企业级Linux发行版本。而CentOS7默认的防火墙不是iptables,而是firewalle,在使用过程中需要自行安装iptables防火墙,下面整理了详细教程。
安装iptable iptable-service:
先检查是否安装了iptables#service iptables status
安装iptables
#yum install -t iptables
升级iptables
#yum update iptables
安装iptables-services
#yum install iptables-services
禁用firewalld服务:
禁用/停止自带的firewalld服务#systemctl stop firewalld
#systemctl mask firewalld
设置现有规则:
查看iptables现有规则#iptables -L -n
先允许所有,防止后面操作出现错误
#iptables -P INPUT ACCEPT
清空所有默认规则
#iptables -F
清空所有自定义规则
#iptables -Z
允许来自与lo接口的数据包(本地访问)
#iptables -A INPUT -i lo -j ACCEPT
开放22端口
#iptables -A INPUT -p tcp –dport 22 -j ACCEPT
开放21端口(FTP)
#iptables -A INPUT -p tcp –dport 21 -j ACCEPT
开放80端口(HTTP)
#iptables -A INPUT -p tcp –dport 80 -j ACCEPT
开放443端口(HTTPS)
#iptables -A INPUT -p tcp –dport 443 -j ACCEPT
允许ping
#iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
允许接收本机请求之后的返回数据RELATED,是为FTP设置的
#iptables -A INPUT -m state –state RELATED,ESTABLSHED -j ACCEPT
其他入站一律丢弃
#iptables -P INPUT DROP
设置出站允许规则
#iptables -P INPUT ACCEPT
所有转发一律丢弃
#iptables -P FORWARD DROP
其他规则设定:
如果要添加内网ip新人(接收其所有TCP请求)#iptables -A INPUT -p tcp -s 192.168.0.1 -j ACCEPT
过滤所有非以上规则的请求
#iptables -P INPUT DROP
要封停一个IP,使用下面命令:
#iptables -I INPUT -s ***.***.***.*** -j DROP
要解封一个IP,使用下面这条命令:
#iptables -D INPUT -s ***.***.***.*** -j DROP
保存规则设定:
保存上述规则#service iptables save
开启iptables服务:
#systemctl start iptables.service查看状态
#systemctl status iptables.service
解决vsftpd在iptables开启后,无法使用被动模式的问题
首先在/etc/sysconfig/iptables-config中修改或者添加以下内容:
添加以下内容,注意顺序不能调换IPTABLES_MODULE=“ip_conntrack_ftp”
IPTABLES_MODULES=“ip_nat_ftp”
重新设置iptables设置:
#iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT以下为完整设置脚本
#!/bin/shiptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
service iptables save
systemctl restart iptables.service
以上就是CentOS7安装iptables防火墙教程全面介绍,大家可以参考上面的方法,后期小编也会继续为大家分享建站教程。
暂无评论内容