iptablesのファイアウォールソフトウェアは、一般的にLinux上で使用され、iptablesのインストール、削除iptablesのルールについて、以下の言った、唯一の指定されたポートを開くiptablesの、シールド指定されたIP、IPセグメントと再オープンをiptablesの、iptablesのルールを削除追加された、およびその他の基本設定iptablesのブートアプリケーション。
まず、ファイアウォールのiptablesをインストール
あなたはiptablesのをインストールする必要がない場合は、CentOSの実行:
iptablesのはyumをインストール- y軸 にyumをインストールiptablesの -services -y #CentOS7 iptablesサービスパッケージ#をインストールする必要があります
firewalldの7のCentOSのデフォルトのインストールではオフにして無効にすることをお勧め:
firewalld停止systemctl
systemctlマスクfirewalldを
第二に、既存のiptablesのルールを削除します
iptablesの-F iptablesの - X のiptables -Z
第三に、指定されたポートを開きます
-A -Iパラメータとルールがフロントエンドルールに追加されます。
#ローカルループバックインタフェース(すなわち、ネイティブ実行するマシンへのアクセス)を許可 - iptablesの-A入力は-i LO J ACCEPT 位に確立トラフィックまたは接続可能 iptablesの-A INPUT -m状態が確立--state、関連する- Jは、ACCEPT #は、すべてのローカル外方へのアクセスを可能にする のiptables -A OUTPUTは、 - Jは、ACCEPT #は22のポートへのアクセスを許可 - --dport 22 TCP -pのiptables -A INPUTをJ ACCEPT #は許可ポートへのアクセス80件 のiptables -A INPUT -p TCPの--dport 80 - J ACCEPT #は443ポートへのアクセスを許可 -のiptables -A -p TCP入力443 --dport JはACCEPT #はFTPサービスポート21と20許す TCP -p iptablesの入力を--dport -A 21 - J ACCEPT iptablesの -A入力-p TCPは20を--dport -JはACCEPT #を他のポートがある場合は、ルールが少しライン上で上記のステートメントを修正し、似ている、 #1 のpingの許可 -p型INPUT --icmpのiptables -A -m ICMP ICMP 8 - 。J ACCEPT #は、他のルールがアクセスすることを許可されていない禁止 iptablesの- -jは、INPUT REJECT #は(注:ポートは、ルール22を許可するように追加されていない場合は、SSHは、直接切断をリンクします) のiptables -A FORWARD -jを拒否します
第四に、シールドIP
#あなただけの盾IP話をしたい「3を、指定されたポート開く」設定のセクションをスキップすることができます。 #のマスクコマンド単一のIPさ iptablesの入力が123.45.6.7 -s -1 - J DROPの #のシールセグメント全体、すなわち123.0.0.1から123.255.255.254コマンドへ のiptables -s 123.0.0.0/8 INPUT -I - J DROPの #のシールを123.45.0.1から123.45.255.254コマンドに即ちIPセグメント - iptablesの入力は124.45.0.0/16 -s -I DROP J #123.45.6.1から123.45.6.254コマンドに即ちIP閉鎖セグメントがある のiptables -I INPUTは、123.45を-s .6.0 / 24 -j DROP
第五に、IPブロックまたは特定のポートへのアクセスを許可
#は、22ポートの特定のポートへのIPアクセスは、例えば、コマンドがマスク - TCP -p -I -s 123.45.6.7 INPUT 22を--dport iptablesのJはDROP #は、22ポートの特定のポートへのIPアクセスは、例えば、コマンドである可能 iptablesの- 22は、TCP --dport -I -p INPUTあるDROPのJ のiptables -I INPUT --dport -p TCPは123.45.6.7 22を-sがACCEPT -jであります
六、iptablesのルールが追加されている参照
iptablesの-L -n
V:マッチの数との各ルールに一致するパケットのバイト数を含む詳細を示して、
Xは:Vに基づいて、自動単位変換(K、Mの無効
n-は:、唯一のIPアドレスとポート番号を示すIPに解決されませんドメイン名
iptablesのルールを削除するセブン、追加されました
すべてのiptables表示中の符号、実行します。
iptablesの-L -n --line-番号
たとえば、シリアル番号(あなたがOUTPUT出力はように変更し、削除したい場合)、実行の規則8にINPUTを削除するには:
iptablesの-D INPUT 8
八、ブートおよびiptablesのルールを保存
CentOSのiptablesの後にインストールすることができるあり、iptablesのは、最初から起動しない、あなたはこれを行うことができます。
上のchkconfig --level 345のiptablesの
実行可能CentOS7:
iptablesの有効systemctl
ブートを追加します。
CentOSの上で実行することができます。サービスのiptablesのルールを保存するために保存します。