1. 首页
  2. 操作系统
  3. CentOS 7 安装 iptables 防火墙

CentOS 7 安装 iptables 防火墙

2019/02/16 18:51:59 发表 2019/02/16 18:51:59 更新 原创 雨辰 797 0 0

CentOS 7 默认的防火墙不是 iptables,而是 firewalle。下面介绍如何在 CentOS 7 下安装 iptables 防火墙。还有如果你是用的阿里云云服务器 ECS 的 CentOS 7 系统,默认情况下是不启用 firewalle 防火墙的,所以可以跳过下面关闭 firewalle 防火墙的步骤。

安装 iptable iptable-service

  1. # 先检查是否安装了 iptables
  2. service iptables status
  4. # 安装 iptables
  5. yum install -y iptables
  7. # 升级 iptables
  8. yum update iptables 
  10. # 安装 iptables-services
  11. yum install iptables-services

禁用/停止自带的 firewalld 服务

  1. # 停止 firewalld 服务
  2. systemctl stop firewalld
  4. # 禁用 firewalld 服务
  5. systemctl mask firewalld

设置 iptable 防火墙现有规则

  1. # 查看 iptables 现有规则
  2. iptables -L -n
  4. # 先允许所有,不然有可能会杯具
  5. iptables -P INPUT ACCEPT
  7. # 清空所有默认规则
  8. iptables -F
  10. # 清空所有自定义规则
  11. iptables -X
  13. # 所有计数器归 0
  14. iptables -Z
  16. # 允许来自于 lo 接口的数据包(本地访问)
  17. iptables -A INPUT -i lo -j ACCEPT
  19. # 开放 22 端口
  20. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  22. # 开放 21 端口(FTP)
  23. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  25. # 开放 80 端口(HTTP)
  26. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  28. # 开放 443 端口(HTTPS)
  29. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  31. # 允许 ping
  32. iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
  34. # 允许接受本机请求之后的返回数据 RELATED,是为 FTP 设置的
  35. iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT
  37. # 其他入站一律丢弃
  38. iptables -P INPUT DROP
  40. # 所有出站一律绿灯
  41. iptables -P OUTPUT ACCEPT
  43. # 所有转发一律丢弃
  44. iptables -P FORWARD DROP

iptable 防火墙其他规则设定

  1. # 如果要添加内网 ip 信任(接受其所有 TCP 请求)
  2. iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
  4. # 过滤所有非以上规则的请求
  5. iptables -P INPUT DROP
  7. # 要封停一个 IP,使用下面这条命令:
  8. iptables -I INPUT -s ***.***.***.*** -j DROP
  10. # 要解封一个 IP,使用下面这条命令:
  11. iptables -D INPUT -s ***.***.***.*** -j DROP

保存规则设定

  1. # 保存上述规则
  2. service iptables save

开启 iptables 服务

  1. # 注册 iptables 服务
  3. # 相当于以前的 chkconfig iptables on
  4. systemctl enable iptables.service
  6. # 开启服务
  7. systemctl start iptables.service
  9. # 查看状态
  10. systemctl status iptables.service

解决 vsftpd 在 iptables 开启后,无法使用被动模式的问题。

1、首先在/etc/sysconfig/iptables-config中修改或者添加以下内容:

  1. # 添加以下内容,注意顺序不能调换
  2. IPTABLES_MODULES="ip_conntrack_ftp"
  3. IPTABLES_MODULES="ip_nat_ftp"

2、重新设置 iptables 设置

  1. iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

以下为完整设置脚本

  1. #!/bin/sh
  3. iptables -P INPUT ACCEPT
  4. iptables -F
  5. iptables -X
  6. iptables -Z
  7. iptables -A INPUT -i lo -j ACCEPT
  8. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  9. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  10. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  11. iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  12. iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
  13. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  14. iptables -P INPUT DROP
  15. iptables -P OUTPUT ACCEPT
  16. iptables -P FORWARD DROP
  18. service iptables save
  19. systemctl restart iptables.service

(完)