IPTABLES備忘
責編:admin |2015-02-09 14:08:26配置centos的iptables。
一:centos iptables的正確設置方法和禁止PING
1.清除已有iptables規則
iptables -F iptables -X iptables -Z
2.iptables的配置,采用centos官方給出的默認的防火墻規則,只需要添加或刪除不用的端口就可以了,這樣才能最大化的兼容各種環境,降低防火墻不兼容造成的負載等問題。
首先運行命令:vi /etc/sysconfig/iptables添加如下內容。
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
#準許本機localhost訪問
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#是否禁止ping,禁止的話可以在下面這句的開頭加#號。
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
#允許已建立的或相關連的通行
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#開放s.s.h的22端口(開放其它端口可以按照下面規則自己添加)
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
#開放80端口
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
#開放ftp的21端口
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 21 -j ACCEPT
#除放開的端口外禁止其它端口
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
3.最后保存一下
service iptables save
#防止iptables機器重啟失效,重啟iptables自動生效,運行如下命令 chkconfig –level 345 iptables on service iptables restart
二:iptables應用
1.查看已添加的iptables規則:
iptables -L
2.刪除已添加的iptables規則:
將所有iptables規則按照1.2.3….進行排序,執行: iptables -L -n –line-numbers 如果要刪除INPUT里序號為5的規則,執行: iptables -D INPUT 5
3.利用iptables屏蔽指定的IP:
#屏蔽單個IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP
#封整個段即從123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即從123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即從123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP