CentOS7 防火牆設置及安裝與設置iptables

防火牆設置

• # 查看firewall服務狀態          systemctl status firewalld
• # 查看firewall的狀態              firewall-cmd --state       
• # 查看防火牆規則                  firewall-cmd --list-all    
• # 開啓 firewalld.service服務 systemctl firewalld start
• # 重啓 firewalld.service服務 systemctl firewalld restart
• # 關閉 firewalld.service服務 systemctl firewalld stop
• # 查詢irewalld端口是否開放  firewall-cmd --query-port=8080/tcp 
• # 開放80端口                        firewall-cmd --permanent --add-port=80/tcp
• # 取消開放8080端口            firewall-cmd --permanent --remove-port=8080/tcp
• # 刷新防火牆配置(修改配置後要刷新防火牆) firewall-cmd --reload

CentOS7開始，默認是沒有iptables的，而是使用firewall防火牆。現在我們把firewall屏蔽掉，使用iptables。

安裝iptables-service 

1、停止並屏蔽 firewalld  服務

  停止：systemctl stop firewalld

  屏蔽：systemctl mask firewalld

2、安裝iptables-service軟件包

  yum install iptables-services

3、在引導時啓用iptables服務

systemctl enable iptables

4、啓動iptables服務

  systemctl start iptables

5、保存防火牆規則

service iptables save

配置iptables

vim /etc/sysconfig/iptables

1.Linux防火牆Iptable設置只允許訪問80端口

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

2.只允許192.168.11.124訪問本機的8080端口

-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.11.124  --dport 80 -j ACCEPT

3.重啓iptables

 service iptables restart

4.查看iptables是否生效

 iptables -L

端口轉發配置

1、 首先應該做的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默認是0    這樣允許iptalbes FORWARD。

2、 service iptables stop  關閉防火牆

3、 重新配置規則

將本機80轉發到8090

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8090

#iptables -t nat -A PREROUTING --dst 61.144.14.72 -p tcp --dport 3389 -j DNAT --to-destination 116.6.73.229:3389
#iptables -t nat -A POSTROUTING --dst 116.6.73.229 -p tcp --dport 3389 -j SNAT --to-source 61.144.14.72

 4、將當前規則保存到配置文件（ /etc/sysconfig/iptables）

service iptables save 

也可以直接修改配置文件內容配置規則，文件內容：

# Generated by iptables-save v1.4.7 on Thu Feb 20 18:05:24 2020
*nat
:PREROUTING ACCEPT [33:3209]
:POSTROUTING ACCEPT [18:1206]
:OUTPUT ACCEPT [18:1206]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8090 
COMMIT
# Completed on Thu Feb 20 18:05:24 2020