CentOS防火牆iptables的配置方法詳解

最後更新：2017-01-13 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

iptables是與Linux核心整合的IP資訊包過濾系統，其內建防火牆功能，我們在配置完伺服器的角色功能後，需要修改iptables的配置。

配置CentOS和Ubuntu等Linux伺服器時需要對伺服器的iptables進行配置，以下是iptables常見的幾種配置方法。

1.查看當前所有的iptables配置

代碼如下	複製代碼
iptables -L -n

2.添加允許INPUT訪問規則,以下時常見服務的連接埠設定，如果需要拒絕訪問，則將ACCEPT改為DROP即可

代碼如下

複製代碼

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#HTTPS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#POP3
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#SMTP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

3.添加使用IP限制INPUT訪問規則,這裡拿SSH為例,192.168.0.100為允許的IP

代碼如下	複製代碼
#DELETE iptables -D INPUT -p tcp --dport 22 -j ACCEPT #ADD iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

4.儲存iptables的設定，修改完規則後記得儲存

代碼如下	複製代碼
/etc/rc.d/init.d/iptables save

5.重啟iptables

代碼如下	複製代碼
service iptables restart

6.開啟/關閉開機啟動

代碼如下	複製代碼
chkconfig iptables on chkconfig iptables off

7 .開啟iptables的設定檔：

代碼如下	複製代碼
vi /etc/sysconfig/iptables

通過/etc/init.d/iptables status命令查詢是否有開啟80連接埠，如果沒有可通過兩種方式處理：

8.修改vi /etc/sysconfig/iptables命令添加使防火牆開放80連接埠

代碼如下	複製代碼
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

9.關閉/開啟/重啟防火牆

代碼如下

複製代碼

/etc/init.d/iptables stop
#start 開啟

#restart 重啟

10.永久性關閉防火牆

代碼如下

複製代碼

chkconfig --level 35 iptables off

/etc/init.d/iptables stop

iptables -P INPUT DROP

11.開啟主動模式21連接埠

代碼如下	複製代碼
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

12.開啟被動模式49152~65534之間的連接埠

代碼如下

複製代碼

iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

注意：

一定要給自己留好後路,留VNC一個管理連接埠和SSh的管理連接埠

需要注意的是，你必鬚根據自己伺服器的情況來修改這個檔案。

全部修改完之後重啟iptables:

代碼如下	複製代碼
service iptables restart

你可以驗證一下是否規則都已經生效：

代碼如下	複製代碼
iptables -L

通過文章的介紹，我們清楚的知道了CentOS下配置iptables防火牆的過程

例

在虛擬機器搭建web後，主機訪問不了，具體情況如下：

1。本機能ping通虛擬機器
2。虛擬機器也能ping通本機
3。虛擬機器能訪問自己的web
4。本機無法訪問虛擬己的web

這時應該要想到是防火牆的原因。關於防火牆的設定網上很多例子，也有點複雜，在這裡我就不介紹了。這裡只解決如何讓主機能夠通過ip訪問虛擬機器的web。

代碼如下

複製代碼

[root@CentOS ~]# vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

注意上面紅色的一行。80連接埠是預設的web連接埠。22為ssh的連接埠（可通過ssh串連虛擬機器了）。
重啟防火牆讓剛才的修改生效。

代碼如下	複製代碼
[root@CentOS ~]# /etc/init.d/iptables restart

這時，你再在主機上通過ip訪問虛擬機器的web，應該就可以了。

推薦一篇:linux/iptables.htm">iptables防火牆配置指南

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More