一、iptables防火墙设置
1.备份
#备份
cd /etc/sysconfig/
cp iptables iptables_bak
2.修改/etc/sysconfig/iptables配置文件
#打开/etc/sysconfig/iptables配置文件
vim /etc/sysconfig/iptables
或
vi /etc/sysconfig/iptables
#修改默认入站和转发配置为DROP
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
#添加防火墙入站配置,添加在 :OUTPUT ACCEPT [0:0] 后
-A INPUT -s 10.20.6.0/24 -j ACCEPT
-A INPUT -s 10.20.7.0/24 -j ACCEPT
-A INPUT -s 10.20.8.0/24 -j ACCEPT
修改后示例:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 10.20.6.0/24 -j ACCEPT
-A INPUT -s 10.20.7.0/24 -j ACCEPT
-A INPUT -s 10.20.8.0/24 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
3.启动防火墙
#查看防火墙状态
service iptables status
#若防火墙停止,则启动
service iptables start
或
service iptables restart
二、firewall防火墙设置
1.查看防火墙的命令
1)查看防火墙的版本。
firewall-cmd --version
2)查看firewall的状态。
firewall-cmd --state
3)查看firewall服务状态(普通用户可执行)。
systemctl status firewalld
4)查看防火墙全部的信息。
firewall-cmd --list-all
5)查看防火墙已开通的端口。
firewall-cmd --list-port
6)查看防火墙已开通的服务。
firewall-cmd --list-service
7)查看全部的服务列表(普通用户可执行)。
firewall-cmd --get-services
8)查看防火墙服务是否开机启动。
systemctl is-enabled firewalld
9)查看防火墙默认区域所有富规则。
firewall-cmd --list-rich-rules
9)查看防火墙指定区域所有富规则。
firewall-cmd --zone=dmz --list-rich-rules
2.配置防火墙的命令
1)启动、重启、关闭防火墙服务。
# 启动
systemctl start firewalld
# 重启
systemctl restart firewalld
# 关闭
systemctl stop firewalld
2)配置富规则。
#将源10.20.8.0/24网段地址加入白名单,以允许来自这个源地址的所有连接
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.20.8.0/24" accept'
PS:7.0与6.0段地址配置同上
## 添加你需要开放的端口XXXX
firewall-cmd --zone=public --add-port=XXXX/tcp --permanent
5)重新加载防火墙配置。
PS:不需要执行,执行后防火墙回滚。
firewall-cmd --reload