linux学习笔记三,CentOS防火墙iptables的安插格局详解

By admin in 美高梅手机版4858 on 2019年5月7日

请留意:centOS柒和柒事先的版本在防火墙设置上不一样,唯有精确的设置防火墙本领落实window下访问linux中的web应用。

壹、直接关门防火墙
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #取缔firewall开机运营
firewall-cmd –state
#查看暗许防火墙状态(关闭后显得notrunning,开启后展现running)
二、设置 iptables service【安装了就忽略】
yum -y install iptables-services
设若要修改防火墙配置,如扩展防火墙端口330陆
vi /etc/sysconfig/iptables
充实规则本人的规则 ,
增添到安插文件之中的“A INPUT -p tcp -m state –state NEW -m tcp–dport
2二 -j ACCEPT”行的上面恐怕上边,切记不要增多到终极一行
-A INPUT -p tcp -m state –state NEW -m tcp –dport 3306 -jACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -jACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 8080-j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 8088-j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 21-j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 2181-j ACCEPT
….
封存退出后
systemctl restart iptables.service #重启防火墙使配置生效
systemctl enable iptables.service #安装防火墙开机运营
最后重启系统使设置生效就可以。

CentOS系统也是基于linux中的它的防火墙其实正是iptables了,上面作者来介绍在CentOS防火墙iptables的安顿教程,希望此教程对各位朋友集会场全部援救。

操作系统景况:CentOS
Linux release 7.0.1406(Core) 64位
CentOS 7.0暗许使用的是firewall作为防火墙,这里改为iptables防火墙步骤。

centOS陆加多端口:

翻开到iptables服务的脚下事态
service iptables status
关闭服务器的防火墙服务命令
# service iptables stop
开启服务器的防火墙服务命令
# service iptables start
编写和开启防火墙相应端口命令
# vim /ect/sysconfig/iptables
翻看端口是或不是被占用,查看端口命令
# netstat -pan|gerp 8080

iptables是与Linux内核集成的IP音讯包过滤系统,其自带防火墙作用,我们在安插完服务器的角色成效后,须求修改iptables的布局。

1、关闭firewall:
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #linux学习笔记三,CentOS防火墙iptables的安插格局详解。禁绝firewall开机运维
firewall-cmd –state
#查看暗中认可防火墙状态(关闭后出示notrunning,开启后展现running)

vi /ets/sysconfig/iptables

 

配置CentOS和Ubuntu等Linux服务器时要求对服务器的iptables进行配置,以下是iptables常见的三种配备格局。

二、iptables防火墙(这里iptables已经设置,下边进行布局)
vi/etc/sysconfig/iptables #编排防火墙配置文件

在-A INPUT -m state–state NEW -m tcp -p tcp –dport 22 -j
ACCEPT上边增多类似的陈设

1.查看当前具备的iptables配置

sampleconfiguration for iptables service

如-A INPUT -m state–state NEW -m tcp -p tcp –dport 8080 -j ACCEPT   
#允许外部访问8080端口

代码如下复制代码

you can edit thismanually or use system-config-firewall

最终重启防火墙:

iptables -L -n

please do not askus to add additional ports/services to this default configuration

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT[0:0]
:OUTPUT ACCEPT[0:0]
-A INPUT -m state–state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -jACCEPT
-A INPUT -i lo -jACCEPT
-A INPUT -p tcp -mstate –state NEW -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -jACCEPT
-A INPUT -p tcp -m state –state NEW -m tcp –dport 8080-j ACCEPT
-A INPUT -j REJECT–reject-with icmp-host-prohibited
-A FORWARD -jREJECT –reject-with icmp-host-prohibited
COMMIT
:wq! #保存退出

备注:这里运用80和8080端口为例。***有的一般增添到“-A INPUT -p tcp -m
state –state NEW -m tcp–dport 2贰 -j
ACCEPT”行的下面或许下边,切记不要增加到终极壹行,不然防火墙重启后不奏效。
systemctlrestart iptables.service #末尾重启防火墙使配置生效
systemctlenable iptables.service #安装防火墙开机运转

全文完……….

service iptables restart/start/stop

二.加多同意INPUT访问规则,以下时常见服务的端口设置,假若须要拒绝访问,则将ACCEPT改为DROP就能够

 

代码如下复制代码

centOS7加多端口:

#SSH

firewall-cmd –zone=public –add-port=8080/tcp –permanent       
#永远增多8080端口

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

firewall-cmd –reload                     
#双重加载计策配置,以使新布局生效

#HTTP

最后设置防火墙重启后生效:

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

chkconfig iptables on

iptables -A INPUT -p tcp –dport 8080 -j ACCEPT

 

#HTTPS

iptables -A INPUT -p tcp –dport 443 -j ACCEPT

#POP3

iptables -A INPUT -p tcp –dport 110 -j ACCEPT

#SMTP

iptables -A INPUT -p tcp –dport 25 -j ACCEPT

#FTP

iptables -A INPUT -p tcp –dport 21 -j ACCEPT

iptables -A INPUT -p tcp –dport 20 -j ACCEPT

#DNS

iptables -A INPUT -p tcp –dport 53 -j ACCEPT

3.加多使用IP限制INPUT访问规则,这里拿SSH为例,1玖二.16八.0.拾0为允许的IP

代码如下复制代码

#DELETE

iptables -D INPUT -p tcp –dport 22 -j ACCEPT

#ADD

iptables -A INPUT -s 192.168.0.100 -p tcp –dport 22 -j ACCEPT

四.保存iptables的安装,修改完规则后记得保存

代码如下复制代码

/etc/rc.d/init.d/iptables save

5.重启iptables

代码如下复制代码

service iptables restart

陆.敞开/关闭 开机运维

代码如下复制代码

chkconfig iptables on

chkconfig iptables off

7 .开发iptables的布局文件:

代码如下复制代码

vi /etc/sysconfig/iptables

经过/etc/init.d/iptables
status命令查询是还是不是有开垦80端口,如若未有可透过三种情势管理:

八.改造vi /etc/sysconfig/iptables命令增加使防火墙开放80端口

代码如下复制代码

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j
ACCEPT

玖.休憩/开启/重启防火墙

代码如下复制代码

/etc/init.d/iptables stop

#start 开启

#restart 重启

10.永世性关闭防火墙

代码如下复制代码

chkconfig –level 35 iptables off

/etc/init.d/iptables stop

iptables -P INPUT DROP

1壹.开垦主动方式二一端口

代码如下复制代码

iptables -A INPUT -p tcp –dport 21 -j ACCEPT

1二.开采被动形式49152~6553肆之间的端口

代码如下复制代码

iptables -A INPUT -p tcp –dport 49152:65534 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT

注意:

必然要给和谐留好后路,留VNC一个管制端口和SSh的管制端口

内需小心的是,你必须依照本人服务器的图景来修改那么些文件。

整套改变完事后重启iptables:

代码如下复制代码

service iptables restart

您能够说多美滋下是否平整都早已生效:

代码如下复制代码

iptables -L

透过小说的牵线,我们知晓的知晓了CentOS下布署iptables防火墙的长河

在虚拟机搭建web后,主机访问不了,具体意况如下:

一。本机能ping通虚拟机

美高梅手机版4858,二。虚拟机也能ping通本机

三。虚拟机能访问自身的web

四。本机不能访问虚拟己的web

此时应该要想开是防火墙的来由。关于防火墙的安装英特网海人民广播电视台湾大学例子,也有点复杂,在这里本人就不介绍了。这里只消除哪些让主机能够通过ip访问虚拟机的web。

代码如下复制代码

[root@CentOS ~]# vi /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT

-A INPUT -j REJECT –reject-with icmp-host-prohibited

-A FORWARD -j REJECT –reject-with icmp-host-prohibited

COMMIT

只顾上边白灰的一行。80端口是暗中同意的web端口。2二为ssh的端口(可经过ssh连接虚拟机了)。

重启防火墙让刚刚的修改生效。

代码如下复制代码

[root@CentOS ~]# /etc/init.d/iptables restart

此时,你再在主机上经过ip访问虚拟机的web,应该就足以了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图
Copyright @ 2010-2019 美高梅手机版4858 版权所有