CentOS7默认的防火墙不是iptables,而是firewalle,先停止自带的 # systemctl stop firewalld.service # systemctl disable firewalld.service 安装iptables # yum install -y iptables-services # systemctl enable iptables.service 为了防止误操作iptables而将自己也拦截在机器之外,可以先配置一个crontab计划任务,每5分钟运行一次 */5 * * * * /usr/bin/systemctl stop iptables 1)清空所有的表链规则(包括自定义的) iptables -F iptables -X iptables -Z iptables -F -t nat iptables -X -t nat iptables -Z -t nat iptables -X -t mangle 2)打开"回还"(本地访问) iptables -A INPUT -i lo -j ACCEPT 3)允许状态为ESTABLISHED的数据包进入 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 4)允许ping iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 5)对指定机器开放SSH端口 iptables -A INPUT -p tcp --dport <ssh_port> -s <remote_ip> -j ACCEPT 6)定义默认策略 一般来说为了搭建安全的防火墙,默认拒绝一切流量连接,所以三表五链默认规则都应该是DROP,但对于实际线上的iptables,建议按如下配置: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT 7)保存上述规则 service iptables save