防火墙
firewall
-
开放端口(端口范围)
firewall-cmd --zone=public --add-port=80/tcp --permanent
--permanent 永久生效,开放端口范围用 6000-6200/tcp
-
重启
firewall-cmd --reload -
查看所有打开端口
firewall-cmd --zone=public --list-ports -
关闭开放端口
firewall-cmd --zone= public --remove-port=80/tcp --permanent -
查看防火墙状态
firewall-cmd --state 或 systemctl status firewalld -
查看版本
firewall-cmd --version -
查看是否开机自启
systemctl is-enabled firewalld.service -
开启/关闭开机自启
开启:systemctl enable firewalld.service 关闭:systemctl disable firewalld.service
iptables
语法
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
选项
-t<表>:指定要操纵的表;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-i:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目;
-F:清楚规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-j<目标>:指定要跳转的目标;
-i<网络接口>:指定数据包进入本机的网络接口;
-o<网络接口>:指定数据包要离开本机所使用的网络接口。
表名包括:
- raw:高级功能,如:网址过滤。
- mangle:数据包修改(QOS),用于实现服务质量。
- net:地址转换,用于网关路由器。
- filter:包过滤,用于防火墙规则。
规则链名包括:
- INPUT链:处理输入数据包。
- OUTPUT链:处理输出数据包。
- PORWARD链:处理转发数据包。
- PREROUTING链:用于目标地址转换(DNAT)。
- POSTOUTING链:用于源地址转换(SNAT)。
动作包括:
- accept:接收数据包。
- DROP:丢弃数据包。
- REDIRECT:重定向、映射、透明代理。
- SNAT:源地址转换。
- DNAT:目标地址转换。
- MASQUERADE:IP伪装(NAT),用于ADSL。
- LOG:日志记录。
常用实例
1、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
2、开放指定的端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
iptables -A INPUT -j reject #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
2、屏蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令
3、查看已添加的iptables规则
iptables -L -n -v
4、删除已添加的iptables规则
//将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
// 比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 8
iptables常用命令
service iptables start #启动
service iptables restart #重启
service iptables save #保存
service iptables stop #停止
service iptables status #查询状态
iptables -L -v #建议查看表时,带上-v参数,会显示in out 方向等信息,显示的信息更完整、详细。
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT #针对INPUT链增加一条规则,接收从eth0口进入且源地址为192.168.0.0/16网段发往本机的数据
iptables -D #删除规则,命令后可接序号
iptables -F #所有规则都清除掉
iptables-save >/home/pi/iptables.bak #备份规则到指定目录的指定文件
iptables-restore </home/pi/iptables.bak #恢复指定文件的规则
service iptables save #配置保存到/etc/sysconfig/iptables
网友评论