快速了解iptables和systemctl-快速了解linux防火墙

docker网络配置及docker操作CentOS7中默认的防火墙是FireWallfirewallsystemctlstopfirewalld.servicesystemctlstartfirewalld.servicesystemctlstatusnfs-server.servicesystemctlrestartnfs-server.servicesystemctllist-units--type=servicesystemctldisablefirewalld.servicesystemctlenablenfs-server.service安装iptablesyuminstalliptables-servicesvim/etc/sysconfig/iptables#iptables服务的示例配置#你可以手动编辑它或者使用system-config-firewall#请不要要求我们向这个默认配置添加额外的端口/服务*过滤器:INPUTACCEPT[0:0]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[0:0]-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT-A输入-picmp-jACCEPT-A输入-ilo-j接受-A输入-ptcp-mstate--stateNEW-mtcp--dport22-jACCEPT-A输入-ptcp-mstate--stateNEW-mtcp--dport21-jACCEPT-A输入-ptcp-mstate--stateNEW-mtcp--dport20-jACCEPT-A输入-ptcp-mstate--stateNEW-mtcp--dport80-jACCEPT-AINPUT-ptcp-mstate--stateNEW-mtcp--dport10020:10030-jACCEPT-AINPUT-jREJECT--reject-withicmp-host-prohibited-A转发-jREJECT--reject-withicmp-host-prohibitedCOMMIT最后重启防火墙使配置生效systemctlrestartiptables.servicesetbootstartsystemctlenableiptables.service关闭SELINUX的方法vim/etc/selinux/configSELINUX=disabled#添加setenforce使配置生效0ruleviewiptables-L-niptables-save清除所有已建立的规则iptables-F清除用户“自定义”iptables-X重置所有链数和流量统计为零iptables-Ztarget：代表执行的操作,ACCEPT表示释放，REJECT表示拒绝。此外，还有DROP（丢弃）物品；prot：代表使用的数据包协议；opt：附加选项说明；来源：来源IP；destination：例如对于目的IP，修改默认策略，信任内网，严格对待INPUTiptables-PINPUTDROP；#discardiptables-P输出接受；iptables-P转发接受；最后使用iptables-save查看本地环回接口（即运行本机访问本机）iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT允许所有本地外部访问iptables-AOUTPUT-jACCEPT开启22端口iptables-AINPUT-ptcp--dport22-jACCEPT允许访问80端口iptables-AINPUT-ptcp--dport80-jACCEPT允许指定IP访问22iptables-IINPUT-s192.168.0.19-ptcp--dport22-jACCEPT屏蔽单个IP的命令是iptables-IINPUT-s123.45.6.7-jDROP把整个网段封起来123.0.0.1到123.255.255.254的命令iptables-IINPUT-s123.0.0.0/8-jDROP封IP段，即命令iptables-IINPUT-s124.45.0.0/16-jDROP封IP段IP段从123.45.0.1到123.45.255.254即123.45.6.1到123.45.6.254的命令是iptables-IINPUT-s123.45.6.0/24-jDROP删除添加的iptables规则iptables-DINPUT8save规则服务iptables保存重启服务服务iptables重启允许Pingiptables-AINPUT-picmp--icmp-typeecho-r??equest-jACCEPTiptables-AOUTPUT-picmp--icmp-typeecho-r??eply-jACCEPT禁止Pingiptables-输入-picmp--icmp-type8-s0/0-jDROP