centos 7 iptables配置,iptables端口開(kāi)啟和關(guān)閉,iptables配置,firewalld卸載

centos 7中默認(rèn)的防火墻是firewalld景殷，首先我們要卸載firewalld后再安裝iptables

（注意：以下命令都是由管理員權(quán)限運(yùn)行）

一逆粹、firewalld和iptables的區(qū)別

iptables默認(rèn)每個(gè)服務(wù)都是開(kāi)啟的，需要拒絕才能限制遥赚；firewalld默認(rèn)每個(gè)服務(wù)都是拒絕的伺通，需要設(shè)置才能開(kāi)放

iptables 服務(wù)在 /etc/sysconfig/iptables 中儲(chǔ)存配置；而?FirewallD 將配置儲(chǔ)存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種 XML 文件里

使用 iptables 的時(shí)候每一個(gè)單獨(dú)更改意味著清除所有舊有的規(guī)則和從 /etc/sysconfig/iptables 里讀取所有新的規(guī)則；使用 firewalld 卻不會(huì)再創(chuàng)建任何新的規(guī)則细溅；僅僅運(yùn)行規(guī)則中的不同。因此 firewalld?可以在運(yùn)行時(shí)改變?cè)O(shè)置而不丟失現(xiàn)行配置儡嘶。

二喇聊、關(guān)閉firewall

關(guān)閉firewall：

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall開(kāi)機(jī)啟動(dòng)

三、安裝iptables防火墻

yum install iptables-services #安裝

四蹦狂、配置iptables

1.清除原有filter規(guī)則.

????iptables -F? //清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則

????iptables -X? //清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則

2.清除原有filter規(guī)則后的信息應(yīng)為下面的樣子

????iptables -L -n

　　Chain INPUT (policy ACCEPT)

　　target prot opt source destination

　　Chain FORWARD (policy ACCEPT)

　　target prot opt source destination

　　Chain OUTPUT (policy ACCEPT)

　　target prot opt source destination

3.添加自己的規(guī)則

#先允許所有,不然有可能會(huì)杯具

iptables -P INPUT ACCEPT

#清空所有默認(rèn)規(guī)則

iptables -F

#清空所有自定義規(guī)則

iptables -X

#所有計(jì)數(shù)器歸0

iptables -Z

#允許來(lái)自于lo接口的數(shù)據(jù)包(本地訪問(wèn))

iptables -A INPUT -i lo -j ACCEPT

#開(kāi)放22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#開(kāi)放21端口(FTP)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#開(kāi)放80端口(HTTP)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#開(kāi)放443端口(HTTPS)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允許ping

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允許接受本機(jī)請(qǐng)求之后的返回?cái)?shù)據(jù) RELATED

iptables -A INPUT -m state --state? RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丟棄

iptables -P INPUT DROP

#所有出站一律綠燈

iptables -P OUTPUT ACCEPT

#所有轉(zhuǎn)發(fā)一律丟棄

iptables -P FORWARD DROP

其他規(guī)則設(shè)定

#如果要添加內(nèi)網(wǎng)ip信任（接受其所有TCP請(qǐng)求）

iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#過(guò)濾所有非以上規(guī)則的請(qǐng)求

iptables -P INPUT DROP

#要封停一個(gè)IP誓篱，使用下面這條命令：

iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一個(gè)IP，使用下面這條命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

保存上述規(guī)則

#保存上述規(guī)則

service iptables save

開(kāi)啟iptables服務(wù)?

#注冊(cè)iptables服務(wù)

#相當(dāng)于以前的chkconfig iptables on

systemctl enable iptables.service

#開(kāi)啟服務(wù)

systemctl start iptables.service

#查看狀態(tài)

systemctl status iptables.service