1 开启和关闭防火墙
- 查看版本
[root@rac2 ~]# cat /etc/issue
CentOS release 6.10 (Final)
Kernel \r on an \m
1.1 通过service命令
service命令开启以及关闭防火墙为即时生效,下次重启机器的时候会自动复原。
- 查看防火墙状态
service iptables status
,在CentOS 6.9以上是输入iptables,网上有些教程使用service iptable status
命令并不可行。
[root@rac2 ~]# service iptables status
表格:filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
- 关闭防火墙
通过命令service iptables stop
[root@rac2 ~]# service iptables stop
iptables:将链设置为政策 ACCEPT:filter [确定]
iptables:清除防火墙规则: [确定]
iptables:正在卸载模块: [确定]
[root@rac2 ~]# service iptables status
iptables:未运行防火墙。
- 打开防火墙
[root@rac2 ~]# service iptables start
iptables:应用防火墙规则: [确定]
[root@rac2 ~]# service iptables status
表格:filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
- 总结:
打开防火墙:service iptables start
关闭防火墙:service iptables stop
查看防火墙状态:service iptables status
2.2 通过/etc/init.d/iptables
进行操作
- 查看防火墙状态
[root@rac2 ~]# /etc/init.d/iptables status
表格:filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
- 关闭防火墙
[root@rac2 ~]# /etc/init.d/iptables stop
iptables:将链设置为政策 ACCEPT:filter [确定]
iptables:清除防火墙规则: [确定]
iptables:正在卸载模块: [确定]
这是临时关闭,关闭的是当前运行的防火墙,重启之后防火墙又会启动,因为它是开机自启动的。
1.3 使用chkconfig
命令
使用chkconfig
命令,可以改为开机不启动。
- 永久开启防火墙
chkconfig iptables on
- 查看状态:
chkconfig --list iptables
[root@rac2 ~]# chkconfig --list iptables
iptables 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭
- 永久关闭防火墙
chkconfig iptables off
2 配置防火墙
2.1 方法1 直接输入命令
[root@rac2 ~]# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT
[root@rac2 ~]# iptables -A INPUT -s 192.168.x.xxx -p tcp -m tcp --dport 1521 -m state --state NEW -j ACCEPT
# 添加192.168.x.xxx访问权限,端口号1521
[root@rac2 ~]# service iptables save # 把规则写入/etc/sysconfig/iptables文件
iptables:将防火墙规则保存到 /etc/sysconfig/iptables: [确定]
# 不执行这个命令的话,防火墙重启后,上面配置的规则会失效
2.2 方法2 直接编辑/etc/sysconfig/iptables文件
vim /etc/sysconfig/iptables
添加代码
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT
-A INPUT -s 192.168.x.xxx -p tcp -m tcp --dport 1521 -m state --state NEW -j ACCEPT
注意:一定要在REJECT规则之前添加这条配置,否则配置不会生效!
重启防火墙,使配置生效
service iptables restart