LINUX防火墙有两套方案:iptables和firewalld,两者都是策略管理工具,iptables配置好策略给内核的netfilter过滤包,firewalld则把策略交给nftables来进行过滤。早期(CentOS6.5/红帽子7之前)默认使用iptables,后来使用firewalld,目前两者共存,设置防火墙白名单,具体要看系统有哪个支持。
银河麒麟V10,默认iptables,统信默认iptables,我们就以iptables配置为例。
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
然后保存了防火墙策略
service iptables save
-I insert 插入一条策略(默认从第一行)
-A append追加一条过滤策略
INPUT 如果本地开启了服务端口就是这个。可以进来。
-p TCP 两个是一起的,意思是TCP协议包的过滤
-dport 6671 我们的远程控制端口(实际上还有被动接入的端口)
-j 表明动作,后面选项有ACCEPT, REJECT, LOG, DROP,白名单就是ACCEPT,黑名单就是REJECT或者DROP(和ACCEPT正好相反),其中REJECT对方可感知,DROP相当不友好。
后来发现还是不通,原来是顺序问题
规则结尾处有拒绝连接的规则,这表示在这条规则前面的数据的都会生效,但这条规则之后的就不会生效的了。因为是按顺序生效的。此时我再按平时那样做规则就无法生效了。所以要加特别的参数把规则添加到这条规则的前面。
iptables -L -n --line-number
使用此命令查看你到防火墙规则的顺序
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
使用iptables -l 设置防火墙规则的顺序
service iptables save
使用此命令保存防火墙规则
防火墙规则是写入立即生效的,但是如果重启防火墙会消失,所以要先保存规则。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
