centos配置防火墙
这是原文地址:
centOS7 下利用iptables配置IP地址白名单
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能
#vim /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-N whitelist
-A whitelist -s 1.2.3.0/24 -j ACCEPT
-A whitelist -s 4.5.6.7 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j whitelist
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
6~8 行是添加白名单列表,可以是ip段或者单个ip地址10~12行 注意的是“-j whitelist”而不是“-j ACCEPT”,前者将该端口访问权限限制在白名单内,后者为不限制13行 任何ip地址都能ping通该主机,因为“-j ACCEPT”没有做相应限制配置
完毕后,运行命令重启防火墙使规则生效#systemctl restart iptables.service
Linux 防火墙编辑重启命令
-
在/etc/sysconfig/iptables里添加
# vi /etc/sysconfig/iptables
添加一条配置规则,如要想开放8080的端口,如下所示:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -- dport 8080 –j ACCEPT
-
重启iptables
# /etc/init.d/iptables restart -
看下状态
# /etc/init.d/iptables status
4.关闭防火墙
- 重启后永久性生效:
开启:
chkconfig iptables on
关闭:
chkconfig iptables off - 即时生效,重启后失效(即重启后防火墙自动开启):
开启:
service iptables start
关闭:
service iptables stop