CentOS防⽕墙iptables的配置⽅法详解
iptables是与Linux内核集成的IP信息包过滤系统,其⾃带防⽕墙功能,我们在配置完服务器的⾓⾊功能后,需要修改iptables的配置。配置和等Linux服务器时需要对服务器的iptables进⾏配置,以下是iptables常见的⼏种配置⽅法。
1.查看当前所有的iptables配置
代码如下复制代码
iptables -L -n
2.添加允许INPUT访问规则,以下时常见服务的端⼝设置,如果需要拒绝访问,则将ACCEPT改为DROP即可
代码如下复制代码
#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
失眠的图片
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#HTTPS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#POP3
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#SMTP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
3.添加使⽤IP限制INPUT访问规则,这⾥拿SSH为例,192.168.0.100为允许的IP
代码如下复制代码
#DELETE
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
#ADD
iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT
4.保存iptables的设置,修改完规则后记得保存
代码如下复制代码
/
etc/rc.d/init.d/iptables save
5.重启iptables
代码如下复制代码
rvice iptables restart
6.开启/关闭 开机启动
代码如下复制代码
chkconfig iptables on
chkconfig iptables off
7 .打开iptables的配置⽂件:
代码如下复制代码vi /etc/sysconfig/iptables
通过/etc/init.d/iptables status命令查询是否有打开80端⼝,如果没有可通过两种⽅式处理:
蒙古族长调民歌8.修改vi /etc/sysconfig/iptables命令添加使防⽕墙开放80端⼝
代码如下复制代码-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
9.关闭/开启/重启防⽕墙
代码如下复制代码
/etc/init.d/iptables stop
#start 开启
#restart 重启
10.永久性关闭防⽕墙
代码如下复制代码
chkconfig --level 35 iptables off
磊科路由器设置
/etc/init.d/iptables stop
高中化学选修1
iptables -P INPUT DROP
11.打开主动模式21端⼝
代码如下复制代码iptables -A INPUT -p tcp --dport 21 -j ACCEPT
12.打开被动模式49152~65534之间的端⼝
代码如下复制代码iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
注意:
⼀定要给⾃⼰留好后路,留VNC⼀个管理端⼝和SSh的管理端⼝
需要注意的是,你必须根据⾃⼰服务器的情况来修改这个⽂件。
全部修改完之后重启iptables:
代码如下复制代码
rvice iptables restart
你可以验证⼀下是否规则都已经⽣效:
代码如下复制代码
iptables -L
通过⽂章的介绍,我们清楚的知道了CentOS下配置iptables防⽕墙的过程
例
在虚拟机搭建web后,主机访问不了,具体情况如下:
1。本机能ping通虚拟机
2。虚拟机也能ping通本机
3。虚拟机能访问⾃⼰的web
夏枯草口服液的功效与作用
4。本机⽆法访问虚拟⼰的web
这时应该要想到是防⽕墙的原因。关于防⽕墙的设置⽹上很多例⼦,也有点复杂,在这⾥我就不介绍了。这⾥只解决如何让主机能够通过ip 访问虚拟机的web。
代码如下复制代码
[root@CentOS ~]# vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
注意上⾯红⾊的⼀⾏。80端⼝是默认的web端⼝。22为ssh的端⼝(可通过ssh连接虚拟机了)。
重启防⽕墙让刚才的修改⽣效。
代码如下复制代码
项目经理的权限[root@CentOS ~]# /etc/init.d/iptables restart
这时,你再在主机上通过ip访问虚拟机的web,应该就可以了。
⑴、Iptables规则写法的基本格式是:
Iptables [-ttable] COMMAND chain CRETIRIA -j ACTION
⑵、Iptables规则相关参数说明:
-t table:3个filter nat mangle
:定义如何对规则进⾏管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的;
CRETIRIA:指定匹配标准;
-j ACTION:指定如何进⾏处理;
⑶、Iptables规则其他写法及说明:
Iptables -L -n -v #查看定义规则的详细信息
Iptables是Linux服务器上防⽕墙配置必备的设置⼯具,是我们在做好服务器安全及部署⼤型⽹络时,常会⽤到的重要⼯具,很好的掌握iptables,可以让我们对Linux服务器整个⽹络的结构有⼀个⽐较透彻的了解,更能够很好的掌握Linux服务器的安全配置技巧。
我们来配置⼀个filter表的防⽕墙.
(1)查看本机关于IPTABLES的设置情况
复制代码
代码如下:
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination</p><p>Chain FORWARD (policy ACCEPT)
target prot opt source destination</p><p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination</p><p>Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPTah--0.0.0.0/00.0.0.0/0
ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631
ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80川西自驾游
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25
REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited
可以看出我在安装linux时,选择了有防⽕墙,并且开放了22,80,25端⼝.
如果你在安装linux时没有选择启动防⽕墙,是这样的
复制代码
代码如下:
[root@tp ~]# iptables -L -n
季羡林的作品Chain INPUT (policy ACCEPT)
target prot opt source destination </p><p>Chain FORWARD (policy ACCEPT)
target prot opt source destination </p><p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防⽕墙,如果你想配置属于⾃⼰的防⽕墙,那就清除现在filter的所有规则.
复制代码
代码如下:
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使⽤者⾃定链中的规则
我们在来看⼀下
复制代码
代码如下:
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination </p><p>Chain FORWARD (policy ACCEPT)
target prot opt source destination </p><p>Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防⽕墙是⼀样的.(提前说⼀句,这些配置就像⽤命令配置IP⼀样,重起就会失去作⽤),怎么保存.
复制代码
代码如下:
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables⽂件⾥了.写⼊后记得把防⽕墙重起⼀下,才能起作⽤.
复制代码
代码如下:
[root@tp ~]# rvice iptables restart
现在IPTABLES配置表⾥什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
