iptables防火墙总结

已于 2024-03-19 15:54:48 修改
阅读量9.7k 收藏 28
点赞数 3
文章标签: 网络 服务器 运维 linux
于 2022-08-31 14:33:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45190065/article/details/126603779
版权

防火墙技术:

监控每个数据包并判断是否有相应的匹配策略规则,直到匹配到其中一条策略规则或执行默认策略为止,防火墙策略可以基于来源地址、请求动作或协议等信息来定制,最终仅让合法的用户请求流入到内网中,其余的均被丢弃

注意:

CentOS/redhat7已经默认使用firewalld作为防火墙,默认是开启的,基于iptables的防火墙默认不启用,但是可以继续使用

CentOS7/redhat7中有集中防火墙共存:firewalld、iptables、ebtablesd,默认使用发是firewalld作为防火墙,管理工具是firewalld

firewalld默认规则都是拒绝的,而iptables默认规则是允许,意味着firewalld需要在每个服务器上设置了才能放行,iptables不用开启,写入的防火墙策略规则也是生效的,只是下次重启服务器规则会失效。不重启服务器下执行service iptables save或iptables-save > /etc/sysconfig/iptables(防火墙规则永久生效),但前提是不重启服务器。在关闭iptables防火墙的前提下配置的iptables防火墙策略,不重启服务器,即使开启iptables防火墙服务配置也会生效。

在关闭iptables防火墙的前提下配置的iptables防火墙策略并保存即执行service iptables save或iptables-save > /etc/sysconfig/iptables后,写完防火墙策略后记得一定要保存,这时再开启iptables防火墙前面配置的iptables防火墙策略也是存在的,但是开启了iptables防火墙然后再关闭iptables防火墙,前面配置的iptables策略才会失效(丢失)或者是重启了服务器防火墙策略也会失效。

如果在关闭iptables防火墙的前提下配置的iptables防火墙策略,没有执行保存iptables防火墙策略命令即执行service iptables save或iptables-save > /etc/sysconfig/iptables,那么再开启iptables防火墙服务,前面配置的iptables防火墙策略将会部分丢失,关闭iptables防火墙,前面配置的策略将会全部失效(丢失)。

开启iptables防火墙命令
systemctl start iptables

配置iptables防火墙开机自启
systemctl enable iptables

关闭iptables防火墙命令
systemctl stop iptables

配置iptables防火墙关闭开机自启
systemctl disable iptables


查看防火墙状态
systemctl status iptables

但是要注意写入的防火墙规则插入的地方,否则可能会出错,因为iptables防火墙的默认规则中,在INPUT链跟FORWARD链中,会有默认拒绝的规则,只不过是放在默认规则的最后面,如下

 这时要注意当写防火墙规则的时候,如果添加允许的规则要使用-I(大写i)将规则添加到头部,而不是使用-A将规则放在尾部(即默认拒绝规则的后面),这时添加到尾部,允许的规则将不能生效,因为匹配到了前面那条默认拒绝的策略,给拒绝掉了,所以要将允许规则使用-I(大写i)参数放到规则的前面或者使用-l(小写l),插入到适当位置。

写入规则的时候还要注意看每个规则链是默认允许规则还是默认拒绝规则(可能改过默认规则),如果是默认拒绝,那就要写入允许的规则。如果是默认允许,就要写拒绝的规则。如下:INPUT链跟FORWARD链默认都是允许的

 OUTPUT链默认是允许的,拒绝了1915个包(icmp拒绝(DROP)的包)

iptables默认规则是允许的规则,当写入防火墙规则的时候,可以使用-A参数(在所选择的链末添加一条或更多规则,链末尾新添加的防火墙规则会取代上一条链末尾插入的防火墙规则,以此类推)。但前提是原来的防火墙链末规则中没有那条拒绝所有的防火墙规则即iptables -A INPUT -p tcp -j DROP和没有你想写入的允许的那条规则的拒绝规则在原来的防火墙规则中,如果有可以先删除。然后要先写入或执行允许的规则,再写入或执行拒绝的规则(注意具体拒绝规则的先后顺序,牢记防火墙规则是自上而下进行匹配执行的)。

如下:

iptables -A INPUT -s 10.3.45.127 -p tcp --dport 5888 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 5888 -j ACCEPT
iptables -A INPUT -s 10.3.45.128 -p tcp --dport 5888 -j DROP
iptables -A INPUT -p TCP --dport 5888  -j REJECT或DROP
service iptables save    #保存防火墙规则使起永久生效,重启服务器防火墙规则还会生效

iptables默认规则是允许的规则,如果需要写入的都是拒绝的防火墙策略 ,也可以使用-A参数(在所选择的链末添加一条或更多规则,注意拒绝规则的先后顺序,牢记防火墙规则是自上而下进行匹配执行的)

iptables默认规则是允许的规则,如果使用-A参数(在所选择的链末添加一条或更多规则)怕整错,也可以将允许规则使用-I(大写i)参数放到规则的前面,然后使用-A参数将拒绝的规则放到所选择链的末尾,这样就不会出错,当然拒绝的规则也可以用-I(大写i)来写,但是得注意你防火墙规则的顺序(牢记防火墙规则是自上而下进行匹配执行的)。

如下:

iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
或
iptables -I INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -I INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -I INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -I OUTPUT -p ICMP --icmp-type time-exceeded -j DROP

iptables

iptables是一个软件,是用户用来传递参数的,它只是用户端的程序,实现给内核传递参数,真正起到防火墙作用的并不是iptables这个软件,而是内核中的netfilter模块。也就是说,防火墙中的包过滤机制是netfilter模块(内核态),管理工具是iptables(用户态)

iptables和netfilter具体存放位置

cd /lib/modules/3.10.0-957.el7.x86_64/kernel/net/netfilter/		#内核的具体位置

vi /sbin/iptables	                                            #iptables的具体位置

规则表:

规则表具有某一类似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的表中,规则表是规则链的集合

默认的4个规则表

raw表:控制nat表中连接追踪机制的启用状况,可控制的链路有(PREROUTING、OUTPUT)

mangle:为数据包设置标记(可控制的链路有INPUT、OUTPUT、FORWARD、POSTROUTING、PREROUTING)

nat:控制数据包中地址转换,修改数据包中的源、目标IP地址或端口 (可控制的链路有PREROUTING、OUTPUT、POSTROUTING)

filter:控制数据包是否允许进出及转发,确定是否放行该数据包(过滤)(可控制的链路有:INPUT、OUTPUT、FORWARD)

注意!!!iptables默认的表就是filter表,如果要指定其他表则需要使用命令单独指定。即-t 指操作的表,filter、nat、mangle、raw,不指定默认使用的是filter表

如果记不住规则表跟规则链的关系,可以通过命令查看

iptables -t raw -L
iptables -t mangle -L
iptables -t nat -L
iptables -t filter -L

策略于规则链:

1.防火墙是由上而下读取策略规则,匹配到合适的会立即执行并结束后面的规则匹配

2.防火墙规则一是通,二是赌,当防火墙设置的默认策略是拒绝时,则就要先设置允许规则,否则谁都进不来,当默认规则是允许,则要设置拒绝规则,否则谁都能进来

3.规则链分类:

路由选择前处理数据包即修改到来的包(PREROUTING),处理流入的数据包即处理进入的包(INPUT),处理流出的数据包即处理本地生成的包(OUTPUT),处理转发的数据包即处理通 过的包(FORWARD),进行路由选择后的数据即修改路由之前本地的包(POSTROUTING)

规则链间的匹配顺序:

入站数据:PREROUTING、INPUT

出战数据:OUTPUT、POSTROUTING

转发数据:PREROUTING、FORWARD、POSTROUTING

规则链内的匹配顺序:

按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外),若在该链内找不到相匹配的规则,则按该链的默认策略处理

一般我们是在INPUT链和PREROUTING链中设置规则,如果防火墙范围较广,在PREROUTING前面拦住,如果范围较小就在INPUT前面

4.防火墙规则匹配动作:

允许(ACCEPT)允许流量通过,登记(LOG)记录日志信息,拒绝(REJECT)拒绝流量通过,不理他(DROP)拒绝流量通过

拒绝(REJECT)拒绝流量通过:会回复对方一条"您的信息我已收到,但被我扔掉了",对方可清晰看到数据被拒绝的响应

不理他(DROP)拒绝流量通过:直接把数据包丢弃不响应。对方看到本机响应超时提醒,无法判断流量被拒绝还是主机不在线

基本命令参数

iptables命令可以根据数据流量的源地址、目的地址、传输协议、服务类型等信息项进行匹配,一旦数据包与策略匹配上,iptables会根据策略所预设的动作处理这些数据流量包

注意!!1防火墙策略匹配规则是从上至下,一定要把严格,优先级较高的策略放到靠前的位置

当设置默认防火墙规则是拒绝时只能使用DROP而不能使用REJIECT

iptables防火墙常用参数
参数作用
-P设置默认策略:iptables -P INPUT  (DROP|ACCEPT)
-F清空规则链
-L查看规则链
-A在规则链末尾加入新规则、或指定链名
-l在规则链中间添加新规则(iptables -I chain [rulenum] firewall-rule)将firewall-rule添加为chain中的第rulenum条规则,原先的第rulenum条及以后各条的需要顺次+1,默认为1,即,如果没有指定rulenum则将该chain中第一条规则替换掉
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d匹配目标地址
-i网卡名称匹配这块网卡流入的数据
-o网卡名称匹配这块网卡流出的数据
-p匹配协议,如tcp,udp,icmp
--dport num匹配目标端口
--sport num匹配来源端口
-t指操作的表,filter、nat、mangle、raw,不指定默认使用的是filter表

iptables语法

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION   #iptables语法格式
即
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

iptables -t nat -A POSTROUTING -s 173.22.90.0/24 ! -d 173.22.90.0/24 -j SNAT --to-source 192.168.1.107


-t table  #是指操作的表,filter、nat、mangle或raw, 默认使用filter
COMMAND   #指命令,定义对规则的管理
chain     #指明链路
CRETIRAI  #匹配的条件或准则
ACTION    #操作动作

不知道表名时,默认为filter表
不指定链名时,默认为表内所有链
除非设置规则链的缺省策略,否则需要指定匹配策略

iptables规则示例:

1.icmp:使用到ping命令检查主机是否在线,向防火墙INPUT链中添加一条允许icmp协议数据包流入的策略就是默认允许了这种ping命令检查行为

iptables -I INPUT -p icmp -j ACCEPT

2.删除INPUT链中的那条策略,并把默认策略还原为允许

iptables -nL INPUT --line-number   #查看INPUT链的防火墙规则,并输出规则编号
或
iptables -nvL INPUT --line-number  #查看INPUT链的防火墙规则,并输出规则编号

iptables -D INPUT  防火墙规则编号   #输入INPUT链的防火墙规则编号,然后进行删除

iptables -D INPUT 2-16             #如果需要批量删除,可以使用 -D 和数字区间

iptables -P INPUT ACCEPT           #把默认策略还原为允许

iptables -L                        #查看防火墙规则

3.设置INPUT链只允许指定网段访问本机的22端口,拒绝其他所有主机数据请求流量,一定要记得把允许的动作放到拒绝动作的上面,否则所有流量会先拒绝掉。如下先设置指定IP允许访问本机22端口,再设置其他IP拒绝访问本机22端口。

iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT  #设置指定IP访问本机22端口
或
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT  #设置指定IP访问本机22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT                    #再设置其他IP拒绝访问本机22端口

iptables -L                                                      #查看itables规则

4.向INPUT链中添加拒绝所有人访问本机12345端口的防火墙策略,编写的策略要放到规则链的头部,防止头部之前写的有允许某个网段可以访问本机12345端口,所以把拒绝所有IP访问本12345端口策略放在头部,这样就可以拒绝所有IP

iptables -I INPUT -p tcp --dport 12345 -j DROP
iptables -I INPUT -p udp --dport 12345 -j DROP

5.向INPUT链中添加拒绝来自于指定192.168.124.3主机访问本机80端口(web服务)的防火墙策略

iptables -I INPUT -s 192.168.124.5 -p tcp --dport 80 -j DROP

iptables -L

6.向INPUT链中添加拒绝所有主机不能访问1000-1050端口的防火墙策略,这个规则可以添加到规则链末尾,因为可能前面有写允许某个IP或者网段允许访问1000-1050这个区间的端口,如果放到规则链头部可能会出问题。如果就是想要所有的ip都不能访问1000-1050的端口,可以放在头部

iptables -A INPUT -p tcp --dport 1000:1050 -j DROP
iptables -A INPUT -p udp --dport 1000:1050 -j DROP

注意!!!iptables命令配置防火墙规则默认会在下一次重启时失效,想要让配置防火墙策略永久生效,可以执行如下命令

service iptables save
或
iptables-save > /etc/sysconfig/iptables

显示扩展匹配条件

必须用-m option选项指定扩展匹配类型,常见的有一下几种

下面这个显示的是指定扩展匹配类型为tcp协议

iptables -t filter -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

1.multiport

以离散或连续的方式定义多个端口匹配条件,最多15个

--source-ports,--sports port,port,port......    #指定多个不连续源端口

--source-ports,--sports port:port               #指定多个连续源端口     


--destination-ports,--dports port,port,port......   #指定多个不连续目标端口
--destination-ports,--dports port:port              #指定多个连续目标端口

                                                   
iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT #在INPUT链中,所有源IP都能访问172.16.0.7目的IP的22,80,139,445,3306端口

2.iprange

以连续地址块方式指明IP地址匹配条件

--src-range from[-to]

--dst-range from[-to]

iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -m iprange --src-range 172.16.0.61-172.16.0.70 -j REJECT   #拒绝源地址172.16.0.61-172.16.0.70访问目的地址172.16.0.7的22,80,139,455,3306端口

iptables -A INPUT -m iprange --src-range 服务器IP范围 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

iptables防火墙规则示例: 

iptables -I INPUT -s 本机地址 -p tcp --dport 22 -j ACCEPT  ##允许本机访问sshd服务

iptables -I INPUT -m iprange --src-range 192.168.2.12-192.168.2.100 -p tcp --dport 8080 -j ACCEPT  ##允许ip地址段访问本机8080端口

iptables -I INPUT -s 192.168.2.13 -p tcp --dport 3306 -j ACCEPT   #允许访问指定两台机器访问mysql服务  
iptables -I INPUT -s 192.168.2.14 -p tcp --dport 3306 -j ACCEPT   #允许访问指定两台机器访问mysql服务

iptables -I INPUT  -p tcp --dport 80 -j ACCEPT   #80端口允许所有人访问

iptables -I INPUT  -p icmp --icmp-type 8 -j ACCEPT #允许所有人ping服务器

iptables -I INPUT  -p icmp --icmp-type 8 -j LOG     #将ping本机的信息记录到日志文件

iptables -P INPUT DROP                              #设置默认规则为DROP

Lotus-1
关注
  • 3
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux常用命令和关闭防火墙开启防火墙 自己总结
01-20
linux常用命令 Mkdir 创建 Rm -rf 删除 Chmod -R 777 权限 Mysql -uroot -r quit退出 find / -name svn 查找位置 关闭防火墙和selinux Redhat使用了SELinux来增强安全,关闭的办法为: 永久有效 修改 /etc/selinux/config 文件中的 SELINUX=”” 为 disabled ,然后重启。 即时生效 setenforce 0 关闭防火墙的方法为: 永久性生效 开启:chkconfig iptables on 关闭:chkconfig iptables off 即时生效,重启后失效 开启:
iptables规则查询
m0_56573171的博客
12-27 1567
当需要禁止某个IP地址访问我们主机时,则需要在INPUT链上定义规则,因为报文发往本机时,会经过PREROUTING链与INPUT链,所以如果我们想禁止某些报文发往主机,只能在PREROUTING链与INPUT链中定义规则,但是PREROUTING链并不存在与filter表中,换句话说,PREROUTING关卡天生就没有过滤能力,所以只能在INPUT链中定义。target 表示规则对应的target,往往表示规则对应的动作,即规则匹配成功后需要采取的措施。条件匹配用于指定对符合什么样条件的数据包进行处理;
Linux防火墙Iptables_查看本机的iptables,经典Linux运维开发教程
最新发布
2401_83620690的博客
04-15 677
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
linux防火墙iptables规则查看、添加、删除和修改方法总结
01-10
1、查看 iptables -nvL –line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数 -n 不对ip地址进行反查,加上这个参数显示速度会快很多 -v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口 –-line-number 显示规则的序列号,这个参数在删除或修改规则时会用到 2、添加 添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。 当前规则: [root@test ~]# iptables -nL --line-
iptables防火墙
ynyysn的博客
02-17 1979
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
iptables规则查看和清除
iteye_5722的博客
11-20 1万+
一 iptables查看基本语法 iptables [-t tables] [-L] [-nv] 选项与参数: -t:后面接table,例如nat或filter,若省略,则使用默认的filter -L:列出目前的table的规则 -n:不进行IP与HOSTNAME的反查,显示信息速度回快很多。 -v:列出更多的信息,包括通过该规则的数据包总位数、相关的网络接口等   二 ipta...
Linux基础自学笔记2
chenhanl的博客
09-10 1032
防火请 一、iptables防火墙 1、基本操作 #查看防火墙状态 service iptables status #停止防火墙 service iptables stop #启动防火墙 service iptables start #重启防火墙 service iptables restart #永久关闭防火墙 chkconfig iptables off #永久关闭后重启 chkconfig iptables on 2、开启80端口 vim /etc/sysconfig/iptables #加入如下代码
Linux防火墙| iptables | 查看防火墙状态 | 开放端口
hgSuper的博客
08-26 4214
linux | 防火墙iptables
iptables防火墙重点简单总结
07-23
iptables防火墙重点简单总结
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
iptables速查
Mr_Roki的博客
06-14 998
参数效果 -t指定表-s指定输入源-d指定接收-p tcp指定协议–dport指定端口-j指定规则。这个是可以任何ip访问 只是开放了端口。的一个优势是集合可以动态的修改,即使。规则目前已经启动,新加的入。
iptables防火墙规则
weixin_43757555的博客
09-15 1496
防火墙的分类 主机型防火墙:主要保护的是服务器本机(过滤威胁本机的数据包) 网络防火墙:主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器Iptables介绍 Linux内核默认支持软路由功能,通过修改内核参数即可开。 永久保存写入规则文件:service iptables save 规则文件位置:/etc/sysconfig/iptables Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能: [ root@proxy ~] # echo 0 > /
安装配置iptables防火墙查看防火墙规则、匹配条件规则
ai_hanghang的博客
06-05 5479
安装配置iptables防火墙 安装配置iptables防火墙 1)安装iptables防火墙服务 [root@centos01 ~]# yum -y install iptables iptables-services 2)启动iptables服务设置开机自动启动 [root@centos01 ~]# systemctl start iptables.service [root@centos01 ~]# systemctl enable iptables.service 3)拒绝ping命令入站 [roo
防火墙iptables
2301_76838634的博客
05-18 1432
【代码】防火墙iptables
linux系统中查看己设置iptables规则
热门推荐
Jian Sun_的博客
10-08 1万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于第一条命令)。 举例:iptables -L -t filter 3、iptabl
iptables防火墙规则操作
peidongyao的博客
07-13 601
一、查看防火墙规则iptables -L -n 或者iptables -nvl二、配置默认规则iptables -P INPUT DROP   不允许进iptables -P FORWARD DROP  不允许转发iptables -P OUTUPT ACCEPT  允许出三、增加规则iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT//允许源ip地址为19...
iptables详解
魏志标的博客
06-26 5962
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
linux防火墙查看状态firewall、iptable
tianynnb的博客
09-16 913
一、iptables防火墙 1、基本操作 查看防火墙状态 service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off 永久关闭后重启 chkconfig iptables on 2、开启80端口 vim /etc/sysconfig/iptables 加入如下代码 -A INPUT -
linux防火墙设置
07-27
Linux系统中,有多种防火墙可供选择,如iptables和firewalld。在CentOS 7中,默认使用的是firewalld作为防火墙。如果你想使用iptables作为防火墙,可以按照以下步骤进行设置: 1. 安装iptables防火墙: ``` yum install iptables-services ``` 2. 停止并禁用firewalld防火墙: ``` systemctl stop firewalld.service systemctl disable firewalld.service ``` 3. 启用iptables防火墙并设置开机启动: ``` systemctl start iptables.service systemctl enable iptables.service ``` 4. 查看iptables是否启动成功: ``` systemctl status iptables ``` 如果你想配置iptables防火墙规则,可以编辑`/etc/sysconfig/iptables`文件来实现。该文件允许你设置特定端口的访问权限,例如允许外部访问Tomcat的8080端口。请使用以下命令编辑该文件: ``` vi /etc/sysconfig/iptables ``` 请注意,只有在安装了iptables防火墙后,才会有该配置文件。iptables防火墙的配置文件是`/etc/sysconfig/iptables`。通过修改该文件,你可以设置特定端口的访问权限。 总结起来,你可以通过安装iptables防火墙并编辑`/etc/sysconfig/iptables`文件来设置Linux防火墙。这样可以提供更好的服务器安全性,限制特定端口的访问和过滤特定类型的数据流量。 #### 引用[.reference_title] - *1* *2* [linux设置iptables防火墙](https://blog.csdn.net/rmoleo/article/details/126938870)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Linux防火墙的配置](https://blog.csdn.net/vivlol918/article/details/130348340)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值