Linux防火牆設定

2021-08-30 21:24:39 字數 3962 閱讀 8240

1) 永久性生效,重啟後不會復原

即時生效,重啟後復原

開啟: service iptables start

關閉: service iptables stop

iptables 指令碼配置說明

cat /etc/sysconfig/iptables 檔案,內容:

# firewall configuration written by system-config-securitylevel

# manual customization of this file is not recommended.

*filter  開始處理 filter 表。

:input accept [0:0]

:forward accept [0:0]

:output accept [0:0]

:rh-firewall-1-input - [0:0]       定義乙個自定義鏈,名稱為rh-firewall-1-input。

-a input -j rh-firewall-1-input    所有輸入資料報都轉到 rh-firewall-1-input 鏈處理。

-a forward -j rh-firewall-1-input  所有**資料報都轉到 rh-firewall-1-input 鏈處理。

-a rh-firewall-1-input -i lo -j accept    接受由本地環迴介面進入的所有資料報。

-a rh-firewall-1-input -i eth0 -j accept  接受由網路介面 eth0 進入的所有資料報。

-a rh-firewall-1-input -i eth1 -j accept  接受由網路介面 eth1 進入的所有資料報。

-a rh-firewall-1-input -p icmp --icmp-type any -j accept   接受所有 icmp 協議的資料報。

-a rh-firewall-1-input -p 50 -j accept

-a rh-firewall-1-input -p 51 -j accept

-a rh-firewall-1-input -p udp --dport 5353 -d 224.0.0.251 -j accept

-a rh-firewall-1-input -p udp -m udp --dport 631 -j accept

-a rh-firewall-1-input -p tcp -m tcp --dport 631 -j accept

-a rh-firewall-1-input -m state --state established,related -j accept

接受所有狀態標記為 related 或 established 的資料報。

-a rh-firewall-1-input -m state --state new -m tcp -p tcp --dport 22 -j accept

接受所有目標埠為 22 的 tcp 新連線資料報。

-a rh-firewall-1-input -m state --state new -m tcp -p tcp --dport 80 -j accept  

接受所有目標埠為 80 的 tcp 新連線資料報。

-a rh-firewall-1-input -m state --state new -m tcp -p tcp --dport 3306 -j accept 

接受所有目標埠為 3306 的 tcp 新連線資料報。

#-a rh-firewall-1-input -s 61.15.11.210 -p tcp --dport 3306 -j accept

接受61.15.11.210 埠為 3306 的 tcp 新連線資料報。

-a rh-firewall-1-input -j reject --reject-with icmp-host-prohibited   

其餘資料報一律拒絕,並以 icmp-host-prohibited 資料報回應。

commit

iptables 開關引數

--dport          指定目標tcp/ip埠號。

--icmp-type   允許指定icmp報文的型別。

-j                   指定採取乙個iptables動作。

--limit            設定一條指定報文的速率。如2/s=每秒兩個。

-m                 查詢資料中乙個配額,可能是tcp或udp,或者乙個條件限額。

-p                  查詢資料中乙個協議,如tcp或udp。

-s                  指定乙個ip位址。

--dport          指定乙個埠號。

--tcp-flags     查詢乙個tcp資料報中的標誌。

iptables 動作

-j accept   允許指定特徵相匹配的資料進入或者離開計算機。

-j drop       阻止指定特徵相匹配的資料進入或者離開計算機。

-j reject    阻止指定特徵相匹配的資料進入或者離開計算機,並傳送一條資訊給源計算機。

-j log        把匹配資料報的記錄記載到/var/log/messages檔案中。

開啟: chkconfig iptables on

關閉: chkconfig iptables off

2)

# vi /etc/sysconfig/iptables

# firewall configuration written by system-config-securitylevel

# manual customization of this file is not recommended.

*filter

:input accept [0:0]

:forward accept [0:0]

:output accept [0:0]

:rh-firewall-1-input - [0:0]

-a input -j rh-firewall-1-input

-a forward -j rh-firewall-1-input

-a rh-firewall-1-input -i lo -j accept

-a rh-firewall-1-input -p icmp --icmp-type any -j accept

-a rh-firewall-1-input -p 50 -j accept

-a rh-firewall-1-input -p 51 -j accept

-a rh-firewall-1-input -s 192.168.42.0/16  -j accept

-a rh-firewall-1-input -p udp --dport 5353 -d 224.0.0.251 -j accept

-a rh-firewall-1-input -p udp -m udp --dport 631 -j accept

-a rh-firewall-1-input -p tcp -m tcp --dport 631 -j accept

-a rh-firewall-1-input -m state --state established,related -j accept

-a rh-firewall-1-input -m state --state new -m tcp -p tcp --dport 22 -j accept

-a rh-firewall-1-input -j reject --reject-with icmp-host-prohibited

commit

Linux防火牆設定

修改防火牆配置需要修改 etc sysconfig iptables 這個檔案,如果要開放哪個埠,在裡面新增一條 a rh firewall 1 input m state state new m tcp p tcp dport 1521 j accept 就可以了,其中 1521 是要開放的埠號,...

Linux防火牆設定

1 重啟後永久性生效 開啟 chkconfig iptables on 關閉 chkconfig iptables off 2 即時生效,重啟後失效 開啟 service iptables start 關閉 service iptables stop 需要說明的是對於linux下的其它服務都可以用以...

LINUX防火牆設定

在終端中輸入如下命令開啟防火牆 chkconfig iptables on 如閉防火牆則輸入 chkconfig iptables off 上述兩條命令均要重啟系統才能生效。如果不想通過重啟系統而即時生效的話,可以用 service 命令。缺點是重啟系統後設定會丟失。開啟了防火牆 service i...