Centos6.9配置防火墙iptables规则.pdf

Centos6.9配置防⽕墙iptables规则

阿⾥云centos服务器需要设置iptables防⽕墙规则，才能使⽤端⼝访问。⽬前只配置INPUT，OUTPUT和FORWORD都是ACCEPT的规则。

⼀、检查iptables服务状态

serviceiptablesstatus

iptables:Firewallisnotrunning.

如果显⽰如下，则说明iptables服务是有安装的，但是没有启动服务。

如果没有安装的话可以直接yum安装

yuminstall-yiptables

⽣成配置⽂件

vim/etc/sysconfig/iptables

保存退出

按Esc再按shift+:输⼊wq回车退出

启动iptables

serviceiptablesstart

iptables:Applyingfirewallrules:[OK]

看⼀下当前iptables的配置情况

iptables-L-n

#会显⽰如下

ChainINPUT(policyACCEPT)

targetprotoptsourcedestination

ChainFORWARD(policyACCEPT)

targetprotoptsourcedestination

ChainOUTPUT(policyACCEPT)

targetprotoptsourcedestination

如果显⽰这样就说明iptables服务已经启动了

⼆、配置规则

常⽤添加端⼝规则

#允许对外请求的返回包

iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT

#允许icmp包通过

iptables-AINPUT-picmp--icmp-typeany-jACCEPT

#允许来⾃于lo接⼝的数据包，如果没有此规则，将不能通过127.0.0.1访问本地服务

iptables-AINPUT-ilo-jACCEPT

#常⽤端⼝

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport21-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport22-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport23-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport80-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport443-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport3306-jACCEPT

iptables-AINPUT-ptcp-mstate--stateNEW-mtcp--dport8080-jACCEPT

#过滤所有⾮以上规则的请求

iptables-PINPUTDROP

#如果要添加内⽹ip信任（接受其所有TCP请求）

#注：(**.**.**.**)为IP,下同

iptables-AINPUT-ptcp-s**.**.**.**-jACCEPT

#要封停⼀个IP，使⽤下⾯这条命令

iptables-IINPUT-s**.**.**.**-jDROP

#要解封⼀个IP，使⽤下⾯这条命令

iptables-DINPUT-s**.**.**.**-jDROP

保存重启防⽕墙

/etc/init.d/iptablessave

serviceiptablesrestart

其他⽅法：

#打开配置⽂件

vim/etc/sysconfig/iptables

#加⼊如下语句:

-AINPUT