|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!引子:centos普通自己就带有iptables防火墙,一hyper-v架构centos体系的VPS因为采取网上广为传播的IPTABLES设置办法,招致没法修正ssh的22端口,假如你修正ssh端口有效,那末也能够参考本文。之前的一些centosiptables教程设置有成绩,不准确的设置或许可以起到感化,然则却会增长体系的负载,不克不及最优的iptables设置装备摆设办法,然后被各网站抄来抄去,终究就会给linux新人带来一些困扰。激烈建议采取本文的设置装备摆设办法从新设置装备摆设centos的iptables。
一:centosiptables的准确设置办法和制止PING
1.消除已有iptables规矩
iptables-Fiptables-Xiptables-Z
2.iptables的设置装备摆设,这里张小三资本网采取centos官方给出的默许的防火墙规矩,我们只须要添加或删除不消的端口就能够了,如许能力最年夜化的兼容各类情况,下降防火墙不兼容酿成的负载等成绩。
起首运转敕令:vi/etc/sysconfig/iptables添加以下内容。
#Firewallconfigurationwrittenbysystem-config-securitylevel
#Manualcustomizationofthisfileisnotrecommended.
*filter
:INPUTACCEPT[0:0]
:FORWARDACCEPT[0:0]
:OUTPUTACCEPT[0:0]
:RH-Firewall-1-INPUT-[0:0]
-AINPUT-jRH-Firewall-1-INPUT
-AFORWARD-jRH-Firewall-1-INPUT
#准予本机localhost拜访
-ARH-Firewall-1-INPUT-ilo-jACCEPT
#能否制止ping,制止的话可以鄙人面这句的开首加#号。
-ARH-Firewall-1-INPUT-picmp--icmp-typeany-jACCEPT
#许可已树立的或相干连的通行
-ARH-Firewall-1-INPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
#开放s.s.h的22端口(开放其它端口可以依照上面规矩本身添加)
-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport22-jACCEPT
#开放80端口
-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport80-jACCEPT
#开放ftp的21端口
-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT
#除摊开的端口外制止其它端口
-ARH-Firewall-1-INPUT-jREJECT--reject-withicmp-host-prohibited
COMMIT
3.最初保留一下
serviceiptablessave
#避免iptables机械重启生效,重启iptables主动失效,运转以下敕令chkconfig--level345iptablesonserviceiptablesrestart
二:iptables运用
1.检查已添加的iptables规矩:
iptables-L
2.删除已添加的iptables规矩:
将一切iptables规矩依照1.2.3....停止排序,履行:iptables-L-n--line-numbers假如要删除INPUT里序号为5的规矩,履行:iptables-DINPUT5
3.应用iptables屏障指定的IP:
#屏障单个IP的敕令是iptables-IINPUT-s123.45.6.7-jDROP
#封全部段即从123.0.0.1到123.255.255.254的敕令
iptables-IINPUT-s123.0.0.0/8-jDROP
#封IP段即从123.45.0.1到123.45.255.254的敕令
iptables-IINPUT-s124.45.0.0/16-jDROP
#封IP段即从123.45.6.1到123.45.6.254的敕令是
iptables-IINPUT-s123.45.6.0/24-jDROP
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们! |
|