iptables常用配置整理

chenhua_1984

浏览: 1262807 次
性别:
来自: 杭州

最近访客更多访客>>

hy811014

jmi_hua

jin_config

大二三炮

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

iptables

iptables

整理下centos下面的iptables的常用配置

1.查看所有的iptables配置

iptables -L -n

2.添加允许INPUT访问规则,以下时常见服务的端口设置，如果需要拒绝访问，则将ACCEPT改为DROP即可

写道

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#HTTPS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#POP3
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#SMTP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

3.添加使用IP限制INPUT访问规则,这里拿SSH为例,192.168.0.100为允许的IP

写道

#DELETE
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
#ADD
iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

4.保存iptables的设置，修改完规则后记得保存

/etc/rc.d/init.d/iptables save

5.重启iptables

service iptables restart

6.开启/关闭开机启动

chkconfig iptables on

chkconfig iptables off

7 .打开iptables的配置文件：

vi /etc/sysconfig/iptables

通过/etc/init.d/iptables status命令查询是否有打开80端口，如果没有可通过两种方式处理：

8.修改vi /etc/sysconfig/iptables命令添加使防火墙开放80端口

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

9.关闭/开启/重启防火墙

/etc/init.d/iptables stop

#start 开启

#restart 重启

10.永久性关闭防火墙

chkconfig --level 35 iptables off

/etc/init.d/iptables stop

iptables -P INPUT DROP

11.打开主动模式21端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

12.打开被动模式49152~65534之间的端口

写道

iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

全部修改完之后重启iptables:

service iptables restart

你可以验证一下是否规则都已经生效：

手动更改配置文件的方式：

写道

[root@CentOS ~]# vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

[root@CentOS ~]# /etc/init.d/iptables restart

分享到：