CentOS7默认的防火墙不是iptables,而是firewalle.
安装iptableiptable-service
[plain]view plaincopy
#先检查是否安装了iptables
serviceiptablesstatus
#安装iptables
yuminstall-yiptables
#升级iptables
yumupdateiptables
#安装iptables-services
yuminstalliptables-services
禁用/停止自带的firewalld服务
[plain]copy
设置现有规则
copy
#查看iptables现有规则
iptables-L-n
#先允许所有,不然有可能会杯具
iptables-PINPUTACCEPT
#清空所有默认规则
iptables-F
#清空所有自定义规则
iptables-X
#所有计数器归0
iptables-Z
#允许来自于lo接口的数据包(本地访问)
iptables-AINPUT-ilo-jACCEPT
#开放22端口
iptables-AINPUT-ptcp--dport22-jACCEPT
#开放21端口(FTP)
iptables-AINPUT-ptcp--dport21-jACCEPT
#开放80端口(HTTP)
iptables-AINPUT-ptcp--dport80-jACCEPT
#开放443端口(HTTPS)
iptables-AINPUT-ptcp--dport443-jACCEPT
#允许ping
iptables-AINPUT-picmp--icmp-type8-jACCEPT
#允许接受本机请求之后的返回数据RELATED,是为FTP设置的
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
#其他入站一律丢弃
iptables-PINPUTDROP
#所有出站一律绿灯
iptables-POUTPUTACCEPT
#所有转发一律丢弃
iptables-PFORWARDDROP
其他规则设定
copy
#如果要添加内网ip信任(接受其所有TCP请求)
iptables-AINPUT-ptcp-s45.96.174.68-jACCEPT
#过滤所有非以上规则的请求
iptables-PINPUTDROP
#要封停一个IP,使用下面这条命令:
iptables-IINPUT-s***.***.***.***-jDROP
#要解封一个IP,使用下面这条命令:
iptables-DINPUT-s***.***.***.***-jDROP
保存规则设定
copy
#保存上述规则
serviceiptablessave
开启iptables服务
copy
#注册iptables服务
#相当于以前的chkconfigiptableson
systemctlenableiptables.service
#开启服务
systemctlstartiptables.service
#查看状态
systemctlstatusiptables.service
解决vsftpd在iptables开启后,无法使用被动模式的问题
1.首先在/etc/sysconfig/iptables-config中修改或者添加以下内容
[html]copy
2.重新设置iptables设置
copy
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
以下为完整设置脚本
copy
#!/bin/sh
iptables-PINPUTACCEPT
iptables-F
iptables-X
iptables-Z
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport443-jACCEPT
iptables-AINPUT-picmp--icmp-type8-jACCEPT
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
iptables-PINPUTDROP
iptables-POUTPUTACCEPT
iptables-PFORWARDDROP
serviceiptablessave
systemctlrestartiptables.service
