专栏首页IT笔记Linux下防火墙配置实例

Linux下防火墙配置实例

操作系统centos centos7版本之前使用的是iptables,centos7版本之后变更为firewalld。

iptables配置实例

iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。

文件位置

/etc/sysconfig/iptables

IPTABLES的设置情况 v:显示详细信息,包括每条规则的匹配包数量和匹配字节数 x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探 n:只显示IP地址和端口号,不将ip解析为域名

 iptables -L -n

删除已有规则

iptables -F
iptables -X
iptables -Z

屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们可以使用以下命令,将指定ip发来的包丢弃:

BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

端口转发配置

iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

DoS攻击防范 利用扩展模块limit,我们还可以配置iptables规则,实现DoS攻击防范:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

开放指定的端口 -A和-I参数分别为添加到规则末尾和规则最前面。

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许访问443端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT  #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT

禁止端口

#禁止访问2181端口
iptables -A INPUT -p tcp --dport 2181-j DROP

屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

iptables生效

service iptables save

firewalld配置实例

启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld

查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help 显示状态: firewall-cmd --state 查看所有打开的端口: firewall-cmd --zone=public --list-ports 更新防火墙规则: firewall-cmd --reload 查看区域信息: firewall-cmd --get-active-zones 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0 拒绝所有包:firewall-cmd --panic-on 取消拒绝状态: firewall-cmd --panic-off 查看是否拒绝: firewall-cmd --query-panic

那怎么开启一个端口呢 添加 firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效) 重新载入 firewall-cmd --reload 查看 firewall-cmd --zone= public --query-port=80/tcp 删除 firewall-cmd --zone= public --remove-port=80/tcp --permanent

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Activiti 开发案例之流程任务指派、转办以及委派

    委派:是将任务节点分给其他人处理,等其他人处理好之后,委派任务会自动回到委派人的任务中。

    小柒2012
  • SpringBoot开发案例之集成SSL证书

    SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供...

    小柒2012
  • 程序员写 2000 行 if else?领导:这个锅我不背

    知乎上有小伙伴提了这么一个问题,如何看待陕西省普通话水平测试成绩查询系统?查询系统前端代码就直接给出了身份账号,姓名,证书编号,如果信息是真的,就泄露了这么多考...

    小柒2012
  • iptables 报错:iptables-restore: unable to initialize table ‘filter 的解决办法

    魏艾斯博客www.vpsss.net
  • Debian下iptables规则重启失效问题的解决方法

    用户2135432
  • CentOS 7 下使用 iptables

    系统升级到CentOS 7后总感觉iptables怪怪的,比如不管怎么保存重启后都被初始化一下,即便我最后发大绝招启动时候加命令: 首先iptables-sa...

    明哥的运维笔记
  • iptables系列教程(三)| iptables 实战篇

    公众号『开源Linux』,专注分享Linux/Unix相关内容,包括Linux运维、Linux系统开发、网络编程、以及虚拟化和云计算等技术干货。后台回复『学习』...

    开源Linux
  • iptables在centos中的使用

    yum install -y iptables && yum install -y iptables-services

    93年的老男孩
  • iptables安全使用指南

    修改iptables之前,好的习惯是先备份(为什么?你尝试过修改iptables后无法登录,或者重启iptables服务后原规则丢失吗?)

    zero000
  • iptables系列教程(二)| iptables语法规则

    用来指明使用的表,有三种选项: filter,nat,mangle。若未指定,则默认使用filter表。

    开源Linux

扫码关注云+社区

领取腾讯云代金券