Linux--CE--iptables与firewalld

（1）iptables：

// 安装iptables服务的包：
[root@server ~]# yum install -y iptables-services.x86_64

#：firewalld和iptables只能启动一个，不能同时使用；

        搭建web服务，设置任何人能够通过80端口访问。

[root@server ~]# iptables -F       // 清空所有的规则，清空之后客户端可以访问ssh和http服务；
[root@server ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
[root@server ~]# iptables -D INPUT 1
[root@server ~]#

        禁止所有人ssh远程登录该服务器

[root@server ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT
[root@server ~]#

#：设置此项，会导致shell退出，可以通过iptables -F来清除规则；      

         禁止某个主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址：172.24.8.128

[root@server ~]# iptables -I INPUT -p tcp -s 192.168.188.128 --dport 22 -j REJECT
[root@server ~]#

#：同样可以通过 iptables -F来删除规则；

#：设定好的规则可以通过 service iptables save / systemmctl save iptables 保存；

（2）firewalld

        禁止某个ip地址进行ssh访问

[root@rhce-128 ~]# firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.188.128" service name="ssh" reject'

        配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）

此规则将本机80端口转发到192.168.1.1的8080端口上

[root@rhce-128 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.188.128/24" forward-port port="5423" protocol="tcp" to-port="80"'

[root@rhce-128 ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 --permanent