注意:Centos7默认的防火墙是firewall。鉴于iptables的广泛使用,本文简单介绍一下CentOS7.0系统下iptables服务的安装及相关使用方法。Disablefirewallandboot防止与iptables服务冲突,首先disablefirewallandboot使用systemctlstatusfirewalld查看服务状态,active/inactive表示服务正在运行/关闭(如下图)systemctlstatusfirewalld如果服务正在运行,先关闭防火墙服务,命令如下:systemctlstopfirewalld停止后,执行以下命令禁用systemctldisablefirewalldinstalliptablesyuminstall-yiptables-services启动iptablessystemctlstartiptablesorserviceiptablesstartiptables简单配置清除现有iptables规则iptables-Fiptables-Xiptables-Z开启指定端口注意:-A是从末尾加-I是从开头加允许本地环回接口(即运行本机访问本机)iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPTallowestablishedorrelatedPassiptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT允许所有本地外部访问iptables-AOUTPUT-jACCEPTto允许访问端口22iptables-AINPUT-ptcp--dport22-jACCEPT允许访问端口80iptables-AINPUT-ptcp--dport80-jACCEPT允许端口21和20用于FTP服务iptables-AINPUT-ptcp--dport21-jACCEPTiptables-AINPUT-ptcp--dport20-jACCEPT如果还有其他端口,规则类似,上面的语句可以稍微修改一下,禁止访问其他规则不允许(注意:如果22端口没有添加允许规则,会直接断开SSH连接。)1).使用DROP方式iptables-AINPUT-ptcp-jDROP2).使用REJECT方式iptables-AINPUT-jREJECTiptables-AFORWARD-jREJECT3).屏蔽一个IP屏蔽单个IP的命令是iptables-IINPUT-s123.45.6.7-jDROP将整个网段封起来,即命令iptables从123.0.0.1到123.255.255.254iptables-IINPUT-s123.0。0.0/8-jDROP封IP段,即命令iptables从123.45.0.1到123.45.255.254-IINPUT-s124.45.0.0/16-jDROP封IP段,即命令从123.45.6.1到123.45.6.254是iptables-IINPUT-s123.45.6.0/24-jDROP4)。查看添加的iptables规则iptables-L-nv:显示详细信息,包括每条规则的匹配包数和匹配字节数x:在v的基础上,禁止自动转换单位(K,M)。vpsdetectiven:只显示IP地址和端口号,不将ip解析为域名5).删除添加的iptables规则,显示所有带序号标记的iptables,执行:iptables-L-n--line-numbers例如删除INPUT中序号为8的规则,执行:iptables-DINPUT86)。启动iptables和保存规则。在CentOS上,安装iptables后,开机后iptables没有自动启动。可以执行:chkconfig--level345iptableson或systemctlenableiptables.service来启用它添加启动。CentOS可以执行:serviceiptablessave保存规则
