入門
iptablesコマンドは、一般的にLinux上でファイアウォールソフトウェアを使用している、netfilterのプロジェクトはの一部である
iptablesのファイル設定のパス:コマンド:vimの、/ etc / sysconfig / iptables内 -config
注意事項
以前contos7を使用した場合、ファイアウォールは、これが事実であること、それはiptablesのファイアウォールを使用して閉鎖されることがまず必要であるので、デフォルトのファイアウォールを使用します
閉じるファイアウォールコマンド
コマンド:#ファイアウォールオフfirewalld停止systemctl
コマンドを:systemctl無効firewalld位起動を禁止
iptablesのをインストールするかどうかを確認してください
コマンド:サービスのiptablesの状況
iptablesのインストール
命令:YUM -y iptablesのインストール
アップグレードのiptables
命令:yumの更新のiptables
iptablesの-サービスをインストールします。
命令:YUM iptablesの-サービスをインストール
ファイアウォールを開きます。
コマンド:iptables.service#はファイアウォールの起動開始systemctl
コマンドを:開始からiptables.service#セットブートを有効systemctl
ファイアウォールをオフにします
コマンド:#ファイアウォールをオフにiptables.service systemctl停止
コマンドを:systemctl無効iptables.service#は起動を禁止
ビューiptablesの状況
命令:systemctl状態iptables.service
既存のiptablesのルールを見ます
コマンド:iptablesの-L -n
フォーカス:デフォルトのファイアウォールルールをクリア
11.1インストールは、基本的な設定を完了-すべてのリクエストが悲劇を防ぐためにできるように
政策INPUT、すべての要求の受け入れをACCEPT変更するにはクリアする前に最初に。
これは、私たちは、悲劇がかもしれない別の空の直接の後、最初に行う必要があります
セットは、すべての要求入力方向ができます
iptablesの-P INPUT ACCEPTは次のコマンドを
11.2基本構成のインストールは完了です-すべてのデフォルトルールクリアする
コマンドを:iptablesの-F
11.3インストールの基本的な設定を完了-すべてのカスタムルールの消去
コマンド:iptablesの-Xを
11.4は、基本構成のインストール- 0に戻し、すべてのカウンタを
コマンド:iptablesの-Z
フォーカス:構成ルールを
12.1 LOインタフェースからパケットができます
このルールがなければ、あなたは、例えばピング127.0.0.1のローカルサービス127.0.0.1にアクセスすることはできません
iptablesの-A INPUT -i loがACCEPT -j:コマンド
12.2は、ポートオープン
-AポートはACCEPT -j --dport TCP -p INPUTをiptablesの
例12.2.1:ポートオープン80,22
命令:iptablesのは-A INPUT -p tcpのは80 --dport -j ACCEPT
iptablesの-A TCP -p INPUT 22は--dport:コマンドを ACCEPT -J
すなわち通過を許可12.3 ICMPパケットは、ピング許可
コマンドを:のiptables -A INPUT -p ICMP -m ICMP --icmp型8 ACCEPT -j
12.4は、すべての送信要求パケットを返すことができます
入力に相当する、ああ受信されなければならない返信パケットに、機械は、外部要求出力に対応する
コマンド:iptablesのは-A INPUT -m状態が確立--state -j ACCEPT
12.5 IP信頼できるネットワーク(TCPは、すべての要求を受け入れ)を追加するには
iptablesの-A TCP -p INPUTは192.168.1.50を-s(IPネットワークに許可することができます)-j ACCEPT
12.6フィルタiptablesのルールを除くすべての要求
コマンド:iptablesの-P INPUT DROPの
キー:ルールを保存します
注意:セットアップは、設定が正しいことで、コマンドのiptablesは-n外観を-L実行するために完了した後。
問題はないの後、何か問題がある場合は、サーバーを再起動強制的に戻って設定を復元することができますので、再起動後に有効になりません、だけでなく、現在有効なを保存するため、保存するために急いではありません。
ssh接続を開くために加えて、あなたが訪問することができていることを確認します。
何の問題保存することを確認してから
コマンドを保存しないために:サービスのiptablesの保存
ファイアウォールを再起動します。
systemctl再起動iptables.service
雑多
15.1 IPフォンティンには、次のコマンドを使用
コマンドを:-I INPUT -sをiptablesの。。。 -J DROP
15.2 IPをリニューアルオープンするには、次のコマンドを使用
コマンドを:iptablesのは、-D INPUTは-s 。。。 -J DROP
既存のルールを削除します。
その後、ルールを削除するには、我々は実行し、最初にすべてのiptablesのに必要なシリアル番号の表示をマークするルール:
コマンド:iptablesの-L -n --line-番号
例えば、入力8におけるルールのシリアル番号を削除するには、実行します
コマンド:iptablesの入力8 -D
例:完全なセットアップスクリプト
#!/bin/sh
#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则 iptables -X #所有计数器归0 iptables -Z #允许来自于lo接口的数据包(本地访问) iptables -A INPUT -i lo -j ACCEPT #开放22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #开放21端口(FTP) iptables -A INPUT -p tcp --dport 21 -j ACCEPT #开放80端口(HTTP) iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开放443端口(HTTPS) iptables -A INPUT -p tcp --dport 443 -j ACCEPT #允许ping iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #允许接受本机请求之后的返回数据 RELATED,是为FTP设置的 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #其他入站一律丢弃 iptables -P INPUT DROP #所有出站一律绿灯 iptables -P OUTPUT ACCEPT #所有转发一律丢弃 iptables -P FORWARD DROP #保存 service iptables save #重启动 serv systemctl restart iptables.service
参考
著者:Pニャー_PHPoop
リンクします。https://www.jianshu.com/p/8fd07c60f23f