• CentOS6/7-防火墙管理


     1 #CentOS6
     2 #开放端口运行外部访问(不指定源IP)
     3 iptables -I INPUT -p tcp --dport 80 -j ACCEPT
     4 iptables -I INPUT -p tcp --dport 22 -j ACCEPT
     5 iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
     6 
     7 #定向开放本地端口允许访问
     8 iptables -I INPUT -s 10.86.87.0/24 -p tcp --dport 10050 -j ACCEPT
     9 
    10 #然后保存:
    11 /etc/rc.d/init.d/iptables save
    12 /etc/init.d/iptables status
    13 
    14 #防火墙启停
    15 /etc/init.d/iptables start
    16 /etc/init.d/iptables stop
    17 
    18 禁止linux向外建立新连接(INPUT 向内)
    19 1、iptables -I OUTPUT -m state --state NEW -j DROP
    20 
    21 #拒绝IP所有请求
    22 iptables -I INPUT -s 10.86.87.123 -j DROP
    23 service iptables save
    24 iptables -L

    修改iptables配置文件添加防火墙策略

    vi /etc/sysconfig/iptables
    
    # sample configuration for iptables service
    # you can edit this manually or use system-config-firewall
    # please do not ask us to add additional ports/services to this default configuration
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m state –-state NEW -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m state –-state NEW -m tcp –dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

    注意点:新开放的端口一定要在端口22后面


    >>>  CentOS 7.0默认使用的是firewall作为防火墙
    #CentOS7常用命令
    systemctl start firewalld.service                ##启动服务
    systemctl stop firewalld.service                ##关闭服务
    systemctl restart firewalld.service             ##重启服务
    systemctl status firewalld.service              ##显示服务的状态
    systemctl enable firewalld.service             ##在开机时启用服务
    systemctl disable firewalld.service            ##在开机时禁用服务
    systemctl is-enabled firewalld.service       ##查看服务是否开机启动
    systemctl list-unit-files|grep enabled         ##查看已启动的服务列表
    systemctl --failed                                       ##查看启动失败的服务列表


    #CentOS7使用iptables防火墙配置(推荐!!)
    1、关闭防火墙
    systemctl stop firewalld.service           #停止firewall
    systemctl disable firewalld.service        #禁止firewall开机启动

    2、设置 iptables service
    yum -y install iptables-services

    #如果要修改防火墙配置,如增加防火墙端口3306,tomcat8080,nginx80端口

     1 vi/etc/sysconfig/iptables       #编辑防火墙配置文件
     2 # sampleconfiguration for iptables service
     3 # you can edit thismanually or use system-config-firewall
     4 # please do not askus to add additional ports/services to this default configuration
     5 *filter
     6 :INPUT ACCEPT [0:0]
     7 :FORWARD ACCEPT[0:0]
     8 :OUTPUT ACCEPT[0:0]
     9 -A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT
    10 -A INPUT -p icmp -jACCEPT
    11 -A INPUT -i lo -jACCEPT
    12 -A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT
    13 -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -jACCEPT
    14 -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080-j ACCEPT
    15 -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
    16 -A INPUT -j REJECT--reject-with icmp-host-prohibited
    17 -A FORWARD -jREJECT --reject-with icmp-host-prohibited
    18 COMMIT
    19 :wq!            #保存退出

    #保存退出后
    systemctl restart iptables.service #重启防火墙使配置生效
    systemctl enable iptables.service #设置防火墙开机启动

    人们永远没有足够的时间把它做好,但永远有足够的时间重新来过。 可是,因为并不是总有机会重做一遍,你必须做得更好,换句话说, 人们永远没有足够的时间去考虑到底是不是想要它,但永远有足够的时间去为之后悔。 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ 浅掘千口井,不如深挖一口井!当知识支撑不了野心时,那就静下心来学习吧!运维技术交流QQ群:618354452

    个人微信公众号,定期发布技术文章和运维感悟。欢迎大家关注交流。

  • 相关阅读:
    win10下以管理员身份打开hosts文件
    使用Dockerfile构建镜像命令自己的理解
    我们在删除镜像的时候被告知有容器正在使用,可是容器已经被停止了
    Docker构建镜像过于缓慢解决-----Docker构建服务之部署和备份jekyll网站
    VMware虚拟机ubuntu显示屏幕太小解决办法
    树莓派3B从装系统到安装RYU过程
    树莓派3b 换国内源 更新源
    Raspbain系统无屏幕无网线通过ssh远程连接树莓派设置wifi步骤
    Mplayer 隐藏边框和显示位置的方法
    使用mplayer查看摄像头
  • 原文地址:https://www.cnblogs.com/miaocbin/p/8805470.html
Copyright © 2020-2023  润新知