1先检查是否安装iptables
执行service iptables status 命令
2安装iptables
yum install -y iptables
3安装iptables-services
yum install iptables-services
4centOS7默认自带firewalld
先停止firewalld服务
systemctl stop firewalld
禁用firewalld服务
systemctl mask firewalld
5查看现有规则
iptables -L -vn
iptables -F是清空默认规则
6开放80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 添加规则
iptables -D INPUT -p tcp --dport 80 -j ACCEPT 删除规则
iptables -I INPUT 7 -p tcp --dport 3306 -j ACCEPT 插入规则
7规则
允许ping包大小在1078字节的ping通,然后60秒之内登陆
@记录到日志:
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -j LOG --log-prefix "SSHOPEN"
@1078的ping包 将源IP记录到表sshopen中
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -m recent --set --name sshopen --rsource -j ACCEPT
@检查60秒内的syn包且目标端口22的 源IP地址是否在sshopen表中
iptables -t filter -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --second 60 --name sshopen -j ACCEPT
@1178的ping包 从表sshopen中删除源IP地址
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1178 -m recent --name sshopen --remove -j ACCEPT
@对已经建立了TCP的链接放行
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
@拒绝所有数据包进入
iptables -t filter -A INPUT -j DROP //这条必须加在最后
8保存上述规则
service iptables save
9关于启动,停止,开机启动的命令
#注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service
执行service iptables status 命令
2安装iptables
yum install -y iptables
3安装iptables-services
yum install iptables-services
4centOS7默认自带firewalld
先停止firewalld服务
systemctl stop firewalld
禁用firewalld服务
systemctl mask firewalld
5查看现有规则
iptables -L -vn
iptables -F是清空默认规则
6开放80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 添加规则
iptables -D INPUT -p tcp --dport 80 -j ACCEPT 删除规则
iptables -I INPUT 7 -p tcp --dport 3306 -j ACCEPT 插入规则
7规则
允许ping包大小在1078字节的ping通,然后60秒之内登陆
@记录到日志:
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -j LOG --log-prefix "SSHOPEN"
@1078的ping包 将源IP记录到表sshopen中
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1030 -m recent --set --name sshopen --rsource -j ACCEPT
@检查60秒内的syn包且目标端口22的 源IP地址是否在sshopen表中
iptables -t filter -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --second 60 --name sshopen -j ACCEPT
@1178的ping包 从表sshopen中删除源IP地址
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m length --length 1178 -m recent --name sshopen --remove -j ACCEPT
@对已经建立了TCP的链接放行
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
@拒绝所有数据包进入
iptables -t filter -A INPUT -j DROP //这条必须加在最后
8保存上述规则
service iptables save
9关于启动,停止,开机启动的命令
#注册iptables服务
#相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service