前言
iptables 核心:
iptables执行规则时,是从从规则表中从上至下顺序执行的,如果没遇到匹配的规则,就一条一条往下执行,如果遇到匹配的规则后,那么就执行本规则
在 centOS7 以后,很多系统默认带着 firewall,但是不熟悉 firewall 规则,那只能继续使用 iptables 了。
我的环境是:CentOS Linux release 7.3.1611
root权限:sudo -i
如果启用了 firewalld,执行以下命令停止:
systemctl stop firewalld.service systemctl disable firewalld.service
安装
centOS7 只有 iptables,是不自带 iptables.service 的,需要自行安装。
yum -y install iptables-services yum -y install iptables
查询安装状态:
systemctl status iptables.service #启动 systemctl start iptables.service #重启 systemctl restart iptables.service #停止 systemctl stop iptables.service 添加开机自启 systemctl enable iptables.service
清空现有策略:
iptables -F iptables -X iptables -Z
出现如上内容就是安装成功
常用命令
启动后执行以下操作
- 查看iptables已有配置
iptables -nL --line-number
- 删除 INPUT 第3条
iptables -D INPUT 5 #iptables -D INPUT 行号
保存配置(很重要、很重要、很重要,否则重启后 iptables 配置就没了)
service iptables save
配置防火墙
允许 ip:10.10.11.11 访问本机的 9200 端口,-I 添加到 iptables 配置行首。
iptables -I INPUT -s 10.10.11.11 -p tcp --dport 9200 -j ACCEPT
-A 追加到 iptables 配置,拦截所有 ip 访问 9200 端口
iptables -A INPUT -p tcp --dport 9200 -j DROP
添加允许 IP段访问指定端口( -m iprange --src-range 10.10.23.11-10.10.23.15 允许10.10.23.11、10.10.23.12、10.10.23.13、10.10.23.14、10.10.23.15访问9200端口)。
iptables -I INPUT -m iprange --src-range 10.10.23.11-10.10.23.15 -p tcp --dport 9200 -j ACCEPT
生效
保存策略重启服务使策略生效
service iptables save systemctl restart iptables
北京丰台
- List item
