centos7 防火墙 iptables

1.停用自带的firewalld

systemctl stop firewalld
systemctl disable firewalld

2.安装iptables-service

yum install -y iptables-service
systemctl enable iptables
systemctl start iptables

3.iptables参数说明

参考：https://man.linuxde.net/iptables

-A：向规则链中添加条目；
-D：从规则链中删除条目；
-I：向规则链中插入条目；
-R：替换规则链中的条目；
-L：显示规则链中已有的条目；
-F：清楚规则链中已有的条目；
-Z：清空规则链中的数据包计算器和字节计数器；
-N：创建新的用户自定义规则链；
-P：定义规则链中的默认目标；
-h：显示帮助信息；
-p：指定要匹配的数据包协议类型；
-s：指定要匹配的数据包源[ip](http://man.linuxde.net/ip "ip命令")地址；
-j<目标>：指定要跳转的目标；
-i<网络接口>：指定数据包进入本机的网络接口；
-o<网络接口>：指定数据包要离开本机所使用的网络接口。</pre>

--dport：目的端口
--sport：来源端口

3.拒绝所有

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
service iptables save 
iptables -L -n --line-number

4.允许22端口访问

iptbales -A INPUT -p tcp 22 --dport -j ACCEPT 
iptbales -A OUTPUT -p tcp 22 --sport -j ACCEPT
service iptables save 

5.允许ping

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
service iptables save 

6.允许域名解析

grep domain /etc/services   #查看domain解析使用什么端口／协议
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT    
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
service iptables save

7.开放80端口

iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --sport 80 -j ACCEPT

iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT


service iptables save

8.开放3306、6379端口

#对外开放3306
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 3306 -j ACCEPT

#对内回环3306
iptables -I INPUT -p tcp --sport 3306 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 3306 -j ACCEPT

iptables -I INPUT -p tcp --dport 6379 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 6379 -j ACCEPT
iptables -I INPUT -p tcp --sport 6379 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 6379 -j ACCEPT

9.删除规则

iptables -L -n --line-number #查看规则并获取规则ID
iptables -D INPUT/OUTPUT ID(规则ID)

10.禁止某个IP访问

iptables -I INPUT -s 192.168.233.1 -j DROP

11.禁止IP段访问

iptables -I INPUT -s 192.168.233.0/24 -j DROP

12.针对开启防火墙使用不了curl，wget，composer需要允许80，443端口

iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --sport 80 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --sport 443 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 443 -j ACCEPT