亲测记录
@[toc]
前言
iptables 核心:
iptables 执行规则时,是从从规则表中从上至下顺序执行的,如果没遇到匹配的规则,就一条一条往下执行,如果遇到匹配的规则后,那么就执行本规则
在 centOS7 以后,很多系统默认带着 firewall,但是不熟悉 firewall 规则,那只能继续使用 iptables 了。
我的环境是:CentOS Linux release 7.3.1611
root 权限:sudo -i
网络异常,图片无法展示
|
如果启用了 firewalld,执行以下命令停止:
systemctl stop firewalld.service systemctl disable firewalld.service
复制代码
安装
centOS7 只有 iptables,是不自带 iptables.service 的,需要自行安装。
yum -y install iptables-services yum -y install iptables
复制代码
查询安装状态:
systemctl status iptables.service #启动systemctl start iptables.service#重启systemctl restart iptables.service#停止systemctl stop iptables.service添加开机自启systemctl enable iptables.service
复制代码
清空现有策略:
iptables -F iptables -Xiptables -Z
复制代码
网络异常,图片无法展示
|
出现如上内容就是安装成功
常用命令
启动后执行以下操作
- 查看 iptables 已有配置
iptables -nL --line-number
复制代码
网络异常,图片无法展示
|
- 删除 INPUT 第 3 条
iptables -D INPUT 5 #iptables -D INPUT 行号
复制代码
- 保存配置(很重要、很重要、很重要,否则重启后 iptables 配置就没了)
service iptables save
复制代码
配置防火墙
允许 ip:10.10.11.11 访问本机的 9200 端口,-I 添加到 iptables 配置行首。
iptables -I INPUT -s 10.10.11.11 -p tcp --dport 9200 -j ACCEPT
复制代码
-A 追加到 iptables 配置,拦截所有 ip 访问 9200 端口
iptables -A INPUT -p tcp --dport 9200 -j DROP
复制代码
添加允许 IP 段访问指定端口( -m iprange --src-range 10.10.23.11-10.10.23.15 允许 10.10.23.11、10.10.23.12、10.10.23.13、10.10.23.14、10.10.23.15 访问 9200 端口)。
iptables -I INPUT -m iprange --src-range 10.10.23.11-10.10.23.15 -p tcp --dport 9200 -j ACCEPT
复制代码
生效
保存策略重启服务使策略生效
service iptables save systemctl restart iptables
复制代码
北京丰台
