VPS

防火墙的基本操作命令

929355193

service iptables restart 重启防火墙,修改生效
检测一下哪些端口是开放的: netstat -tunlp
/etc/sysconfig/iptables

#sed -i “s/SELINUX=enforcing/SELINUX=disabled/” /etc/selinux/config


#清楚防火墙原来规则
iptables -F
#保存防火墙配置
service iptables save
#停止防火墙
service iptables stop
#开放ssh防火墙
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放数据库防火墙规则
iptables -A INPUT -s 192.168.3.0/24 -p tcp --dport 3306 -j ACCEPT
#开放防火墙规则
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#开放ping防火墙规则
iptables -A INPUT -p icmp -j ACCEPT
#防火墙进来默认规则为drop
iptables -P INPUT DROP
#防火墙出去默认规则为drop
iptables -P OUPUT ACCEPT
#保存防火墙配置
service iptables save
#重启防火墙
service iptables restart

#允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#除放开的端口外禁止其它端口
-A INPUT -j REJECT --reject-with icmp-host-prohibited

7、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:
chkconfig -level 345 iptables on *****X*****
chkconfig --level 2345 iptables on
将其加入开机启动。

查询防火墙状态:
[root@localhost ~]# service iptables status<回车>

停止防火墙:
[root@localhost ~]# service iptables stop <回车>

启动防火墙:
[root@localhost ~]# service iptables start <回车>

重启防火墙:
[root@localhost ~]# service iptables restart <回车>

永久关闭防火墙:
[root@localhost ~]# chkconfig iptables off<回车>

永久关闭后启用:
[root@localhost ~]# chkconfig iptables on<回车>

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2580 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3311:3313 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8989 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 50000:50500 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

*/*/*/*/*/*/*/*/*/*/*/*/*

首先运行命令:vi /etc/sysconfig/iptables添加如下内容。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
#准许本机localhost访问
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#是否禁止ping,禁止的话可以在下面这句的开头加#号。
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
#允许已建立的或相关连的通行
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#开放s.s.h的22端口(开放其它端口可以按照下面规则自己添加)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#除放开的端口外禁止其它端口
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

最后重启一下
service iptables restart