CentOS 7安裝iptables服務，以及常用命令

標籤：

之前使用的是CentOS6.5，並且學藝不精，用啥查啥，用完就忘。並且網上大部分資料是基於CentOS7之前的版本。

在CentOS7中，預設的防火牆不是iptables，而是firewalld。而且需要install/update/install service之後才能使用。

禁用/停止內建的firewalld服務：

#先檢查是否安裝了iptablesservice iptables status#安裝iptablesyum install -y iptables#升級iptablesyum update iptables #安裝iptables-servicesyum install iptables-services

iptables服務

#停止firewalld服務systemctl stop firewalld#禁用firewalld服務systemctl mask firewalld

禁用/停止內建的firewalld服務

#查看iptables現有規則iptables -L -n#先允許所有,不然有可能會杯具iptables -P INPUT ACCEPT#清空所有預設規則iptables -F#清空所有自訂規則iptables -X#所有計數器歸0iptables -Z#允許來自於lo介面的資料包(本地訪問)iptables -A INPUT -i lo -j ACCEPT#開放22連接埠iptables -A INPUT -p tcp --dport 22 -j ACCEPT#開放21連接埠(FTP)iptables -A INPUT -p tcp --dport 21 -j ACCEPT#開放80連接埠(HTTP)iptables -A INPUT -p tcp --dport 80 -j ACCEPT#開放443連接埠(HTTPS)iptables -A INPUT -p tcp --dport 443 -j ACCEPT#允許pingiptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT#允許接受本機請求之後的返回資料 RELATED,是為FTP設定的iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT#其他入站一律丟棄iptables -P INPUT DROP#所有出站一律綠燈iptables -P OUTPUT ACCEPT#所有轉寄一律丟棄iptables -P FORWARD DROP

設定現有iptables規則

#如果要添加內網ip信任（接受其所有TCP請求）iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT#過濾所有非以上規則的請求iptables -P INPUT DROP#要封停一個IP，使用下面這條命令：iptables -I INPUT -s ***.***.***.*** -j DROP#要解鎖一個IP，使用下面這條命令:iptables -D INPUT -s ***.***.***.*** -j DROP

設定其他iptables規則

#儲存上述規則service iptables save

儲存規則

#註冊iptables服務#相當於以前的chkconfig iptables onsystemctl enable iptables.service#開啟服務systemctl start iptables.service#查看狀態systemctl status iptables.service

開啟iptables服務

解決vsftpd在iptables開啟後,無法使用被動模式的問題

1.首先在/etc/sysconfig/iptables-config中修改或者添加以下內容

 

#添加以下內容,注意順序不能調換IPTABLES_MODULES="ip_conntrack_ftp"IPTABLES_MODULES="ip_nat_ftp"

 

2.重新設定iptables設定

 

iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

 

完整設定指令碼：

#!/bin/shiptables -P INPUT ACCEPTiptables -Fiptables -Xiptables -Ziptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPTiptables -A INPUT -p icmp --icmp-type 8 -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD DROPservice iptables savesystemctl restart iptables.service

轉載自：http://www.cnblogs.com/kreo/p/4368811.html

 

CentOS 7安裝iptables服務，以及常用命令