centos7默認防火牆不是iptables,而是firewlld
安裝iptables ;
yum install iptables -y
yum update iptables
yum install iptables-services
----------------------------------
禁用/停止自帶的firewalld服務
systemctl stop firewalld //停止firewalld
systemctl mask firewalld //禁用firewalld
---------------------------------------
設置現有規則
#查看iptables現有規則iptables -L -n#先允許所有,不然有可能會杯具iptables -P INPUT ACCEPT#清空所有默認規則iptables -F#清空所有自定義規則iptables -X#所有計數器歸0iptables -Z#允許來自於lo接口的數據包(本地訪問)iptables -A INPUT -i lo -j ACCEPT#開放22端口iptables -A INPUT -p tcp --dport 22 -j ACCEPT#開放21端口(FTP)iptables -A INPUT -p tcp --dport 21 -j ACCEPT#開放80端口(HTTP)iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT //只允許三次握手new第一次包通過
#開放443端口(HTTPS)iptables -A INPUT -p tcp --dport 443 -j ACCEPT#允許pingiptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT#允許接受本機請求之後的返回數據 RELATED,是爲FTP設置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丟棄iptables -P INPUT DROP#所有出站一律綠燈iptables -P OUTPUT ACCEPT#所有轉發一律丟棄iptables -P FORWARD DROP
其他規則設定
#如果要添加內網ip信任(接受其所有TCP請求)iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT#過濾所有非以上規則的請求iptables -P INPUT DROP#要封停一個IP,使用下面這條命令:iptables -I INPUT -s ***.***.***.*** -j DROP#要解封一個IP,使用下面這條命令:iptables -D INPUT -s ***.***.***.*** -j DROP
保存規則設定
#保存上述規則service iptables save
#註冊iptables服務#相當於以前的chkconfig iptables onsystemctl enable iptables.service#開啓服務systemctl start iptables.service#查看狀態systemctl status iptables.service
-----------------------------------------------------------------------
#!/bin/shiptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
service iptables save
systemctl restart iptables.service