Linux防火墙查看及白名单添加

一、临时白名单添加,执行即生效,重启防火墙后失效

查看防火墙状态:

service iptables status

查看白名单列表:

sudo iptables -nL

添加白名单:

sudo iptables -I INPUT -m state --state NEW -m tcp -p tcp -s 10.32.123.1 --dport 3306 -j ACCEPT

sudo:用于普通用户提权为管理员,一般可不添加
-I:添加规则的参数  
    INPUT:表示外部主机访问内部资源
-m state --state :连接状态,包括(NEW|ESTABLISHED|RELATED|INVALID)
    NEW:3次握手的第一次,一次新的请求
    ESTABLISHED:二次握手以后,连接断开之前的连接
    RELATED:相关连的状态,可解决控制ftp连接等复杂的协议
    INVALID:无法识别的状态
-p: 用于匹配协议(通常有3种,TCP/UDP/ICMP)
-s:指定源地址,须填写IP,不能填主机名称
--dport: 用于匹配目标端口号
-j: 用于匹配处理方式:
    ACCEPT:允许数据包通过
    DROP:直接丢弃数据包,不给出任何回应信息

 查看白名单添加结果:

[root@host001 ~]# sudo iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  10.32.123.1         0.0.0.0/0           state NEW tcp dpt:3306
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0 

二、永久防火墙

添加白名单:

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="10.32.123.1" port port=3306 protocol=tcp accept' --permanent

移除白名单:

firewall-cmd --zone=public --remove-rich-rule 'rule family="ipv4" source address="10.32.123.1" port port=3306 protocol=tcp reject' --permanent

重启防火墙后生效:

firewall-cmd --reload

你可能感兴趣的:(linux,服务器,运维)