CentOS 防火墙常用命令

2022-06-06 280

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云防火墙，500元 1000GB

简介： CentOS 防火墙常用命令

前言

CentOS中7以下防火墙是 iptables，7是 firewalld，两者不尽相同，一开始以为 firewalld 比 iptables会更麻烦，其实 firewalld 比 iptables 方便多了，这里简单描述下配置。

iptables

基本命令

重启系统生效

chkconfig iptables on 
# 启动 
chkconfig iptables off  
# 关闭

即时生效，重启后失效

service iptables start  
# 启动
service iptables stop  
# 关闭

设定规则

1、查看本机关于 iptables 的设置情况

iptables -L -n

2、清除原有规则

iptables -F 
# 清除预设表 filter 中的所有规则链的规则

3、保存设置规则(因配置随系统重启而失效)

/etc/rc.d/init.d/iptables save 
# 保存规则到 /etc/sysconfig/iptables 文件中, 也可手工编辑该文件.

4、设定预设规则

iptables -p INPUT DROP
iptables -p OUTPUT DROP
iptables -p FORWARD DROP
# 上面的规则是不允许任何包通过.

5、添加规则

iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
# 开启 22 端口, 允许 SSH 登录, 如开启 80 端口:
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT

6、禁止某个IP访问

iptables -I INPUT -s x.x.x.x -j DROP
# 也可进行更细致的设置, 如只允许 192.168.1.14 的机器进行 SSH 连接:
iptables -A INPUT -p tcp –dport 22 -s 192.168.1.14 -j ACCEPT
# 如果要允许或限制一段IP地址可用 192.168.1.0/24 表示 192.168.1.1-255 端的所有 IP.

7、防止同步包洪水(Sync Flood)

iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT

8、防止各种端口扫描

#iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT

9、Ping 洪水攻击(Ping of Death)

#iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT

firewalld

基本命令

1、重启系统生效

systemctl enable firewalld
# 启动 
systemctl disable firewalld
# 关闭

2、即时生效，重启后失效

systemctl start firewalld
# 启动
systemctl stop firewalld
# 关闭

3、查看状态

firewall-cmd --state

4、查看已配置规则

firewall-cmd --list-all

5、更新配置

firewall-cmd --list-all

设定规则

1、拒绝/取消拒绝所有包

firewall-cmd --panic-on
firewall-cmd --panic-off

2、将接口添加到 public 区域

firewall-cmd --zone=public --add-interface=eth0

3、把 tcp 80 端口加入/移除到区域

firewall-cmd --zone=pulic --add-port=80/tcp
firewall-cmd --zone=pulic --remove-port=80/tcp

把 http 服务加入/移除到区域

firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --remove-service=http

5、设置永久生效

# 命令中加上 --permanet 参数则永久生效，比如 
firewall-cmd --zone=public --add-service=http --permanent

高级应用

1、仅允许部分 IP 访问特定服务

firewall-cmd  --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"  --permanent

2、仅允许部分 IP 访问特定端口

firewall-cmd  --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" port protocol="tcp" port="8080" accept"    --permanent

3、查看 FTP 服务设置

firewall-cmd --query-service ftp

4、查看激活的区域以及切换区域

firewall-cmd --get-active-zones
firewall-cmd --set-default-zone=public

5、限制每分钟只有两个连接到ftp服务

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

CentOS 防火墙常用命令

前言

iptables

基本命令

设定规则

firewalld

基本命令

设定规则

高级应用

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

CentOS 防火墙常用命令

前言

iptables

基本命令

设定规则

firewalld

基本命令

设定规则

高级应用

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像