Centos下配置iptables防火墙

最新推荐文章于 2021-05-06 15:53:11 发布
最新推荐文章于 2021-05-06 15:53:11 发布
阅读量189 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Centos 文章标签: Centos iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/micky2046/article/details/84413920

服务器新增的系统是Centos6,这个版本默认已经安装了iptables。

 

iptables的基本操作:

service iptables start
service iptables stop

service iptables restart
service iptables status  #如果没有启动,将提示没有启动,否则将会显示已经添加的过滤规则

service iptables save    #保存添加的规则,记得每次更改规则以后这样保存一下

 

清除iptables已有规则

iptables -F  

iptables -X 

iptables -Z

 

 查看已经添加的规则:

iptables -L -n       

将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:

iptables -D INPUT 8

 

 

好了,接下来就是添加各种过滤规则了,先看一下执行service iptables status显示已经添加完以后的过滤规则表:

表格:filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     all  --  127.0.0.1            127.0.0.1
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
8    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

 现在服务器上主要就apache和ftp,apache端口是80,vsftpd需要20,21号端口。然后还有就是必须要ssh能登录(端口号22)。

好了,接下来就看怎么一步一步添加这些规则的。

首先要让SSH能登录进系统,因为我进行这些操作都是通过ssh远程登录的服务器,如果22端口被过滤掉,那就完了:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 向INPUT的chain里添加(-A是添加到末尾,-I是添加到首部)规则,对协议是tcp源端口是22的数据都接收。本来考虑OUTPUT的chain里执行添加:

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

后来考虑还是让所有往外的数据都开放吧,不然服务器里的其它未知端口的程序就没法正常工作了,所以:

iptables -A OUTPUT -j ACCEPT

 对于FORWARD这个链路没有特殊的情况全部都拒绝就行了:

iptables -A FORWARD -j REJECT

因为添加规则的顺序很重要,对于所有的INPUT的数据,默认也拒绝,后面再添加特殊的端口,由于开始添加了一个开发22号端口的规则,所以默认的拒绝的规则加到INPUT的最后:

iptables -A INPUT -j REJECT

 接下来添加apache的80端口,允许请求进入服务器:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

允许本地回环接口(即运行本机访问本机) :

iptables -I INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

 开放ping允许,让别的机器能ping通这台服务器(由于所有的OUTPUT都accept了,所以它自己当然也能ping通别的机器),ping使用的是icmp协议,没有端口号,所以添加方法如下:

iptables -I INPUT -p icmp  -j ACCEPT

 允许所有已建立的或相关连的通行:

iptables -I INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

 好了,接下来添加ftp需要的端口20和21: 

iptables -I INPUT -p tcp --dport 20 -j ACCEPT;
iptables -I INPUT -p tcp --dport 21 -j ACCEPT;

 所有的规则都添加完毕,通过service iptables status就能看见最开始那个过滤列表了。接下来测试一下。SSH登录和WEB访问apache都没有问题,但是ftp就连不上了,太诡异了,不是都添加了20和21端口了的吗。

网上搜了一下,说法是iptables控制ftp还需要加载系统的模块,主要就是ip_nat_ftp。

#lsmod | grep ftp (查看是否加载ftp模块)
#modprobe ip_nat_ftp(加载ftp模块)
#lsmod | grep ftp (查看模块是否被加载)

执行modprobe ip_nat_ftp以后,确实ftp能正常访问了。但是后来发现每次service iptables save以后,lsmod | grep ftp 查看一下又没有了,真是恼火。解决办法:

vim打开/etc/sysconfig/iptables-config,这个是iptables的配置文件,显示内容如下:

 

写道

 

# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES=""

# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

 当然这个文件后面还有一下参数,看到的这两个参数,第二个IPTABLES_MODULES_UNLOAD="yes",什么意思注释里已经很清楚了,每次iptables停止或者重启都会Unload modules。再看看第一个参数IPTABLES_MODULES="" ,注释里说是每次防火墙规则应用以后加载的模块。好了,将它改成IPTABLES_MODULES="ip_nat_ftp" 问题就解决了。

linux读取目录列表失败,[linux]解决vsftpd 读取目录列表失败的问题
weixin_42664597的博客
05-03 2413
使用第三方FTP软件filezilla进行登陆,出现如下错误:状态: 正在连接 192.168.1.6:21...状态: 连接建立,等待欢迎消息...响应: 220 (vsFTPd 2.2.2)命令: USER ftp响应: 331 Please specify the password.命令: PASS ***响应: 230 Login successf...
阿里云Centos配置iptables防火墙教程
01-20
虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则 一、检查iptables服务状态 首先检查iptables服务的...
Centos 初始化服务器防火墙没有启动找不到/etc/sysconfig/iptables
weixin_30408675的博客
06-08 123
个人博客:https://blog.sharedata.info/ 具体步骤:添加规则然后重启防火墙自动生成防火墙文件1.iptables -P OUTPUT ACCEPT #添加出规则2.service iptables save #保存3.service iptables restart #重启 转载于:https://www.cnblogs.c...
CentOS Linux下VNC Server远程桌面配置详解
weixin_33694620的博客
10-16 188
为什么80%的码农都做不了架构师?>>> ...
解决重启iptables内核模块自动unload
良玉的博客
07-17 3267
在Linux内核里,默认情况下,iptables重启动的时候,iptables模块会被卸载(unload),然后加载重启.这种配置iptables如果重启,对于那些tcp发起端window scale option有效的的连接会产生以下影响: 1.重启后window size会不能被正确识别; 2.已经建立的tcp会话状态会从 ESTABLISHED → INVALID 导致会话中断; 以
【Linux】iptables的内核模块问题大坑!
热门推荐
zclinux的博客
11-23 4万+
系统环境 CentOS 6.5 今天本来可以平静的度过一天,正品味着下午茶的美好,突然接到防火墙iptables的报警。 进入到服务器中,执行下面的命令查看,结果报错 /etc/init.d/iptables restart iptables: Applying firewall rules: iptables-restore v1.4.7: iptables-restore: un......
CentOS配置iptables防火墙.pdf
11-06
CentOS配置iptables防火墙.pdf
CentOS操作系统下配置iptables防火墙.docx
10-29
CentOS操作系统下配置iptables防火墙.docx
阿里云Centos配置iptables防火墙.docx
11-01
阿里云CentOS配置iptables防火墙是一项重要的安全措施,尽管阿里云提供了云盾服务,但额外的防火墙层能提供额外的安全保障。以下是配置iptables防火墙的详细步骤: 1. **检查iptables服务状态**: 首先,通过运行`...
Iptables#Iptables加固服务器安全
kakaops_qing的博客
11-05 1820
Iptables加固服务器安全
Iptables防火墙策略详解
Iands。的博客
02-24 1069
一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables
iptables启动脚本分析
良玉的博客
07-17 3905
#!/bin/sh # # iptables Start iptables firewall # # chkconfig: 2345 08 92 # description: Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables # co
linux modprobe自动加载,modprobe 开机自动加载模块的方法 亲测成功
weixin_35940165的博客
05-06 5239
再次鄙视那些凭空臆测就发表技术文章和那些不分好坏疯狂采集的人。浪费大家的时间,你们罪当诛杀!添加开机自动加载模块,在各大搜索引擎发现很多误导的技术文章,浪费我的时间,气死了。下面是本人测试成功的.配置iptables的SNAT DNAT,开放内网中的ftp服务。需要加载ip_nat_ftp模块. 使用命令modprobe ip_nat_ftp 执行过后 执行lsmod.html' target='...
Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)
preamble_1的博客
05-15 6762
Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)     在最近的Linux内核里,默认情况下,Iptables重启动的时候,iptables模块会被卸载(unload),然后加载重启。     这种配置iptables如果重启,对于那些tcp发起端window scale option有效的的连接会产生以下影响:
CENTOS IPTABLES 远程只允许22端口
世界末日BLOG
01-20 1617
#清除目前所有规则 iptables -F #允许通过tcp协议访问22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #禁止访问除22端口以外的所有端口 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #允许本地内部访问 ipta
Centos7.3防火墙配置
weixin_30369087的博客
05-25 1057
Centos7.3防火墙配置 1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start # 重启 service ...
centos6.5虚拟机安装后,没有iptables配置文件
weixin_33758863的博客
08-31 222
  openstack环境里安装centos6.5系统的虚拟机,安装好后,发现没有/etc/syscofig/iptables防火墙配置文件。 解决办法如下: [root@kvm-server005 ~]# iptables -P OUTPUT ACCEPT[root@kvm-server005 ~]# /etc/init.d/iptables saveiptables: Saving fi...
Linux iptables常用命令
weixin_34363171的博客
02-04 377
iptables 是 Linux 中重要的访问控制手段,是俗称的 Linux 防火墙系统的重要组成部分。这里记录了iptables 防火墙规则的一些常用的操作指令。 下面的操作以 CentOS 为基础介绍,应该对不同的 Linux 发行版都差不多。在 CentOS 5.x 和 6.x 中,iptables 是默认安装的(如果没有安装,先安装 iptables 即可)。如果对 iptables 的工...
centos7配置 iptables防火墙
最新发布
07-02
### 配置 CentOS 7 上的 iptables 防火墙规则 在 CentOS 7 系统中,`iptables` 已被 `firewalld` 取代作为默认防火墙管理工具。然而,仍可通过安装 `iptables-services` 来使用传统的 `iptables` 命令进行配置。 #### 安装与启用 iptables 1. **停止并禁用 firewalld** ```bash systemctl stop firewalld systemctl disable firewalld.service ``` 2. **安装 iptables 及其服务组件** ```bash yum -y install iptables iptables-services ``` 3. **启动 iptables 并设置开机自启** ```bash systemctl start iptables systemctl enable iptables ``` 4. **保存当前配置以确保重启后生效** ```bash service iptables save ``` #### 基础配置命令 - **查看现有规则** ```bash iptables -L -n -v ``` - **清空所有规则(谨慎操作)** ```bash iptables -F ``` - **允许特定端口流量通过** 比如开放 TCP 协议的 80 端口: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` - **限制特定 IP 地址访问** 添加对来自 192.168.10.103 的请求的限制,例如阻止 8601 端口: ```bash iptables -A INPUT -s 192.168.10.103 -p tcp --dport 8601 -j DROP ``` - **允许本地回环接口通信** ```bash iptables -A INPUT -i lo -j ACCEPT ``` - **设置默认策略** 设置默认拒绝所有传入连接,接受所有传出连接: ```bash iptables -P INPUT DROP iptables -P OUTPUT ACCEPT ``` - **保存更改** ```bash service iptables save ``` #### 示例:开放 SSH 访问 为了保证服务器的安全性同时又能远程管理,通常会开放 SSH 服务(默认为 22 端口),可以执行如下命令: ```bash iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT ``` 此命令添加了一条规则,允许新的 SSH 连接进入系统[^1]。 #### 示例:配置 SNAT 和 DNAT 对于需要网络地址转换的情况,比如将内部网络的多个设备映射到一个公网 IP 上,可以配置 SNAT 或者 DNAT 规则: - **SNAT(源地址转换)** ```bash iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` - **DNAT(目标地址转换)** 将外部请求转发至内网某台主机(假设为 192.168.1.100)上的 Web 服务: ```bash iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 ``` 以上是基本的 `iptables` 配置流程和一些常用示例。实际应用中应根据具体需求调整规则,并测试其有效性以确保网络安全性和功能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值