1先檢查是否安裝iptables
執行service iptables status 命令
2安裝iptables
yum install -y iptables
3安裝iptables-services
yum install iptables-services
4centOS7默認自帶firewalld
先停止firewalld服務
systemctl stop firewalld
禁用firewalld服務
systemctl mask firewalld
5查看現有規則
iptables -L -vn
iptables -F是清空默認規則
6開放80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 添加規則
iptables -D INPUT -p tcp --dport 80 -j ACCEPT 刪除規則
iptables -I INPUT 7 -p tcp --dport 3306 -j ACCEPT 插入規則
7規則
允許ping包大小在1078字節的ping通,然後60秒之內登陸
@記錄到日誌:
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -j LOG --log-prefix "SSHOPEN"
@1078的ping包 將源IP記錄到表sshopen中
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -m recent --set --name sshopen --rsource -j ACCEPT
@檢查60秒內的syn包且目標端口22的 源IP地址是否在sshopen表中
iptables -t filter -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --second 60 --name sshopen -j ACCEPT
@1178的ping包 從表sshopen中刪除源IP地址
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1178 -m recent --name sshopen --remove -j ACCEPT
@對已經建立了TCP的鏈接放行
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
@拒絕所有數據包進入
iptables -t filter -A INPUT -j DROP //這條必須加在最後
8保存上述規則
service iptables save
9關於啓動,停止,開機啓動的命令
#註冊iptables服務
#相當於以前的chkconfig iptables on
systemctl enable iptables.service
#開啓服務
systemctl start iptables.service
#查看狀態
systemctl status iptables.service
關於centOS7上的iptables防火牆的一些配置和策略
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.