centos7 iptables 及常用操作
centos7系统使用firewalld服务替代了iptables服务,但是依然可以使用iptables来管理内核的netfilter. 事实上firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables。
查看防火墙状态
# firewall-cmd --state
running
默认情况下,firewalld 处于运行状态,并拒绝所有传入流量,但有几个例外,如 SSH。
在centos 7下启用iptables
systemctl stop firewalld.service
systemctl disable firewalld.service
yum install iptables-services -y
systemctl enable iptables
systemctl start iptables
编辑ipatbles的规则
vim /etc/sysconfig/iptables
重启iptables服务
service iptables restart-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
备注:持久化修改规则可以直接改iptables文件也可以使用iptables命令添加然后使用service iptables save命令保存。由于iptables规则是自上而下匹配,所以添加的所有的规则都必须在以下两个默认规则之前,理想方法是修改/etc/sysconfig/iptables文件,直接添加规则 。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
----------------------------------------------------------------------------------------------------------------------------------------------------------------------
查看状态: /etc/init.d/iptables status
关闭: /etc/rc.d/init.d/iptables stop
启动: /etc/rc.d/init.d/iptables start
重启: /etc/rc.d/init.d/iptables restart
iptables -I 和 iptables -A 区别:防火墙由上往下匹配,-A 会将后执行的策略添加到已有策略后,而-I 则会插入到已有策略的前(既成为第一条策略)。
屏蔽接入请求流量 //test OK
iptables -I INPUT -s 124.115.0.199 -j DROP
是屏蔽124.115.0.199这个IP
iptables -I INPUT -s 124.115.0.0/16 -j DROP
是屏蔽124.115.*.*这段IP 就是124.115开头的IP
iptables -I INPUT -s 61.37.80.0/24 -j DROP
是屏蔽61.37.80.*这段IP 意思就是61.37.80开头的IP
iptables -I INPUT -s 124.0.0.0/8 -j DROP
是屏蔽124.*.*.*这段IP 意思就是124开头的IP取消屏蔽
iptables -D INPUT -s 124.0.0.0/8 -j DROP //test OK
只要把I 改为 D就好了,然后后面可以写IP或者IP段
希望这个linux屏蔽IP的命令教程可以帮助到大家
1、安装iptables防火墙
CentOS执行:yum install iptables
Debian/Ubuntu执行:apt-get install iptables
2、清除已有iptables规则 //test OK
iptables -F 清除预设表filter中的所有规则链的规则
iptables -X 清除预设表filter中使用者自定链中的规则
iptables -Z
3、开放指定的端口
开放一个IP的特定端口
iptables -A INPUT -s 192.168.0.5 -p tcp --dport 1024:65535 -j ACCEPT
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话3、“开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、查看已添加的iptables规则
iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
n:只显示IP地址和端口号,不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示,执行:
iptables -L INPUT --line-number
比如要删除INPUT里序号为1的规则,执行:
iptables -D INPUT 1
6、iptables的开机启动及规则保存
chkconfig –level 345 iptables on
CentOS上可以执行:service iptables save保存规则
1、永久生效
开启:chkconfig iptables on
关闭:chkconfig iptables off
2、即时生效,重启后失效
开启:service iptables start
关闭:service iptables stop
---------------------
作者:Lion Li
来源:CSDN
原文:https://blog.csdn.net/weixin_40461281/article/details/83008976
版权声明:本文为博主原创文章,转载请附上博文链接!