iptables是與Linux核心整合的IP資訊包過濾系統,其內建防火牆功能,我們在配置完伺服器的角色功能後,需要修改iptables的配置。
配置CentOS和Ubuntu等Linux伺服器時需要對伺服器的iptables進行配置,以下是iptables常見的幾種配置方法。
1.查看當前所有的iptables配置
2.添加允許INPUT訪問規則,以下時常見服務的連接埠設定,如果需要拒絕訪問,則將ACCEPT改為DROP即可
代碼如下 |
複製代碼 |
#SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT #HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j ACCEPT #HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT #POP3 iptables -A INPUT -p tcp --dport 110 -j ACCEPT #SMTP iptables -A INPUT -p tcp --dport 25 -j ACCEPT #FTP iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT #DNS iptables -A INPUT -p tcp --dport 53 -j ACCEPT |
3.添加使用IP限制INPUT訪問規則,這裡拿SSH為例,192.168.0.100為允許的IP
代碼如下 |
複製代碼 |
#DELETE iptables -D INPUT -p tcp --dport 22 -j ACCEPT #ADD iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT |
4.儲存iptables的設定,修改完規則後記得儲存
代碼如下 |
複製代碼 |
/etc/rc.d/init.d/iptables save |
5.重啟iptables
代碼如下 |
複製代碼 |
service iptables restart |
6.開啟/關閉 開機啟動
代碼如下 |
複製代碼 |
chkconfig iptables on chkconfig iptables off |
7 .開啟iptables的設定檔:
代碼如下 |
複製代碼 |
vi /etc/sysconfig/iptables
|
通過/etc/init.d/iptables status命令查詢是否有開啟80連接埠,如果沒有可通過兩種方式處理:
8.修改vi /etc/sysconfig/iptables命令添加使防火牆開放80連接埠
代碼如下 |
複製代碼 |
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
|
9.關閉/開啟/重啟防火牆
代碼如下 |
複製代碼 |
/etc/init.d/iptables stop #start 開啟 #restart 重啟 |
10.永久性關閉防火牆
代碼如下 |
複製代碼 |
chkconfig --level 35 iptables off /etc/init.d/iptables stop iptables -P INPUT DROP |
11.開啟主動模式21連接埠
代碼如下 |
複製代碼 |
iptables -A INPUT -p tcp --dport 21 -j ACCEPT |
12.開啟被動模式49152~65534之間的連接埠
代碼如下 |
複製代碼 |
iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT |
注意:
一定要給自己留好後路,留VNC一個管理連接埠和SSh的管理連接埠
需要注意的是,你必鬚根據自己伺服器的情況來修改這個檔案。
全部修改完之後重啟iptables:
代碼如下 |
複製代碼 |
service iptables restart
|
你可以驗證一下是否規則都已經生效:
通過文章的介紹,我們清楚的知道了CentOS下配置iptables防火牆的過程
例
在虛擬機器搭建web後,主機訪問不了,具體情況如下:
1。本機能ping通虛擬機器
2。虛擬機器也能ping通本機
3。虛擬機器能訪問自己的web
4。本機無法訪問虛擬己的web
這時應該要想到是防火牆的原因。關於防火牆的設定網上很多例子,也有點複雜,在這裡我就不介紹了。這裡只解決如何讓主機能夠通過ip訪問虛擬機器的web。
代碼如下 |
複製代碼 |
[root@CentOS ~]# vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT |
注意上面紅色的一行。80連接埠是預設的web連接埠。22為ssh的連接埠(可通過ssh串連虛擬機器了)。
重啟防火牆讓剛才的修改生效。
代碼如下 |
複製代碼 |
[root@CentOS ~]# /etc/init.d/iptables restart |
這時,你再在主機上通過ip訪問虛擬機器的web,應該就可以了。
推薦一篇:linux/iptables.htm">iptables防火牆配置指南