iptable 设置iptables
访问限制格式:
# 禁止指定IP访问
iptables -A INPUT -p tcp -s IP -j DROP
# 禁止指定IP访问端口
iptables -A INPUT -p tcp -s IP --dport port -j DROP
# 允许在IP访问指定端口
iptables -A INPUT -s IP -p tcp --dport port -j ACCEPT
限制某个IP访问:
iptables -I INPUT -s 172.15.2.11 -j DROP 或者: -A INPUT -s 172.15.2.11 -j DROP
指定特定IP 访问:
-A INPUT -s 172.16.2.20 -p tcp -j ACCEPT
-A INPUT -s 172.16.2.0/24 -p tcp -j ACCEPT
设置特定端口访问特定端口:
-A INPUT -s 172.17.1.0/16 -p tcp -m state --state NEW -m tcp --dport 6379 -j ACCEPT -A INPUT -s 172.16.2.0/24 -p tcp -m state --state NEW -m tcp --dport 27017 -j ACCEPT
Centos7 防火墙 默认是 firewall
想和 Centos 6 一样配置 iptables;
直接更新 # yum update iptables
直接安装 # yum install iptables iptables-services
或者 直接 yum install iptables iptables-* -y
Systemctl stop firewalld Systemctl disable firewalld systemctl restart iptables.service systemctl status iptables.service systemctl enable iptables.service
Centos 7 没有 ifconfig
可以 直接安装;
yum install net-tools
Centos 7
firewall 默认配置:
# 默认配置路径 /etc/firewalld/
# 默认区域:
zones/public.xml
常见指令
#查看版本 firewall-cmd --version
#显示状态 firewall-cmd --state
#查看区域信息
firewall-cmd --get-active-zones
#查看指定接口所属区域
firewall-cmd --get-zone-of-interface=eth0
#拒绝所有包
firewall-cmd --panic-on
#取消拒绝状态
firewall-cmd --panic-off
#查看是否拒绝
firewall-cmd --query-panic
端口示例
# 开放一个端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
1、firewall-cmd:指令
2、--zone: 指定区域public
3、--permanent:永久生效
4、--add-port:端口
# 删除一个端口:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
# 更新防火墙规则 firewall-cmd --reload # 查看所有打开的端口 firewall-cmd --zone=public --list-ports
限制端口
# 允许指定IP访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.19.20.21" port protocol="tcp" port="80" accept"
# 禁止指定IP访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="172.19.20.21" drop'
或:
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.19.20.21" port protocol="tcp" port="80" reject
# 限制指定段访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.19.0.0/24" port protocol="tcp" port="80" reject"
--add-rich-rule:添加规则
--remove-rich-rule:删除规则
drop:丢弃fin包超时
reject:拒绝包
查看已设置规则
# 重新加载规则 firewall-cmd --reload # 查看规则列表 firewall-cmd --zone=public --list-rich-rules