1. 打开firewalld防火墙

systemctl start firewalld.service

 

在Linux服务器被攻击的时候,有的时候会有多少个新秀IP。假如能拒绝掉那多少个IP的抨击的话,会大大减轻服务器的压力,说不定服务器就能恢复生机经常了。

centos防火墙设置个人笔记

1、安装iptables防火墙
怎么了然系统是不是安装了iptables?执行iptables -V,如若呈现如:
iptables v1.3.5
表达已经安装了iptables。
如若没有设置iptables须要先安装,执行:
yum install iptables

在Linux中装置防火墙,以CentOS为例,打开iptables的安排文件:
vi /etc/sysconfig/iptables
经过/etc/init.d/iptables
status命令查询是不是有开拓80端口,假设没有可因此两种方式处理:
1.改动vi /etc/sysconfig/iptables命令添加使防火墙开放80端口
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j
ACCEPT

2.关闭/开启/重启防火墙
/etc/init.d/iptables stop #start 开启 #restart 重启

3.永久性关闭防火墙
chkconfig –level 35 iptables off /etc/init.d/iptables stop iptables -P
INPUT DROP

4.开拓主动情势21端口
iptables -A INPUT -p tcp –dport 21 -j ACCEPT

5.开辟被动情势49152~65534时期的端口
iptables -A INPUT -p tcp –dport 49152:65534 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT

全套改动完之后重启iptables:
service iptables restart
你能够说澳优下是否平整都曾经生效:
iptables -L
通过小说的介绍,我们通晓的通晓了CentOS下安排iptables防火墙的历程,希望我们都能精通它!

② 、清除已有iptables规则
iptables -F 清除预设表filter中的全体规则链的条条框框
iptables -X 清除预设表filter中使用者自定链中的规则
iptables -Z
叁 、开放钦命的端口
#同意地方回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已确立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#允许持有本机向外的拜访
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#设若有其余端口的话,规则也接近,稍微修改上述语句就行
#明确命令禁止任何未同意的条条框框访问
centos防火墙设置个人笔记,详解Linux防火墙iptables禁IP与解封IP常用命令。iptables -A INPUT -j REJECT
(注意:假诺22端口未进入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
履行完后,那么些安插就像是用命令配置IP一样,重起就会失掉成效。必须履行以下命令举行封存。
/etc/rc.d/init.d/iptables save
4、屏蔽IP
#固然只是想屏蔽IP的话“③ 、开放内定的端口”能够平素跳过。
#遮掩单个IP的通令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的吩咐
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
⑤ 、查看已添加的iptables规则
iptables -L -n
v:呈现详细新闻,包含每条规则的匹配包数量和匹配字节数
x:在 v 的根基上,禁止自动单位换算(K、M)
n:只展现IP地址和端口号,不将ip解析为域名
六 、删除已添加的iptables规则
将持有iptables以序号标记展现,执行:
iptables -L -n –line-numbers
诸如要刨除INPUT里序号为8的平整,执行:
iptables -D INPUT 8
七 、iptables的开机运行及规则保存
CentOS上恐怕会设有装置好iptables后,iptables并不开机自运行,能够举行一下:
chkconfig –level 345 iptables on
将其进入开机运行。
CentOS上得以推行:service iptables save保存规则。

① 、安装iptables防火墙
怎么明白系统是还是不是安装了iptables?执行iptables -V,假若展现如: iptables
v1.3.5 表明已经安装了…

iptables是Linux上常用的防火墙软件,下边说一下iptables的装置、清除iptables规则、iptables只绽放钦赐端口、iptables屏蔽钦定ip、ip段及解封、删除已添加的iptables规则等iptables的核心接纳。

2. 添加防火墙规则(对点名ip开放内定端口)

(以下墨绛红字体必要依照实际情状修改)

(1) Postgresql端口设置。允许192.168.142.166拜访5432端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept"

 

(2)redis端口设置。允许192.168.142.166走访6379端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"

 

(3)beanstalkd端口设置。允许192.168.142.166拜访11300端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"

 

在Linux下封停IP,有封闭扼杀网段和封闭扼杀单个IP三种方式。一般的话,以后的攻击者不会选用两个网段的IP来抨击(太跋扈了),IP一般都以散列的。于是上面就详细说美素佳儿(Friso)下封闭扼杀单个IP的通令,和平解决封单个IP的通令。

 

3. 重启防火墙,使配置生效

systemctl restart firewalld.service

 

Linux防火墙:iptables禁IP与解封IP常用命令

1、安装iptables防火墙

4. 查看配置结果,验证配置

firewall-cmd --list-all

在Linux下,使用ipteables来爱惜IP规则表。要封停或然是解封IP,其实便是在IP规则表中对入站部分的平整举办添加操作。

怎么了解系统是不是安装了iptables?执行iptables -V,如若显示如:

5. 剔除规则

示例:

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"

systemctl restart firewalld.service

要封停多个IP,使用上面那条命令:

iptables v1.3.5

iptables -I INPUT -s ***.***.***.*** -j DROP

表明已经安装了iptables。
若果没有安装iptables必要先安装,执行:

要解封多少个IP,使用下边那条命令:

yum install iptables

iptables -D INPUT -s ***.***.***.*** -j DROP

在Linux中装置防火墙,以CentOS为例,打开iptables的陈设文件:

参数-I是意味Insert(添加),-D代表Delete(删除)。前边跟的是规则,INPUT表示入站,***.***.***.***表示要封停的IP,DROP代表屏弃连接。

vi /etc/sysconfig/iptables  
因而/etc/init.d/iptables
status命令查询是还是不是有开拓80端口,假若没有可经过二种办法处理:

除此以外,仍可以使用下边包车型地铁命令来查看当前的IP规则表:

1.改动vi /etc/sysconfig/iptables命令添加使防火墙开放80端口

iptables -list

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j
ACCEPT  
2.关门/开启/重启防火墙

比如说未来要将123.44.55.66这些IP封闭扼杀,就输入:

/etc/init.d/iptables stop   #start 开启   #restart 重启  
3.永久性关闭防火墙

iptables -I INPUT -s 123.44.55.66 -j DROP

chkconfig –level 35 iptables off   /etc/init.d/iptables stop   iptables
-P INPUT DROP  
4.打开主动方式21端口

要解封则将-I换到-D即可,前提是iptables已经有那条记下。如若要想清空封掉的IP地址,能够输入:

iptables -A INPUT -p tcp –dport 21 -j ACCEPT  
5.开辟被动情势49152~65534里面包车型客车端口

iptables -flush

iptables -A INPUT -p tcp –dport 49152:65534 -j ACCEPT  
iptables -A INPUT -i lo -j ACCEPT  
iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT  

要添加IP段到封停列表中,使用上边包车型客车授命:

方方面面修改完之后重启iptables:

iptables -I INPUT -s 121.0.0.0/8 -j DROP

service iptables restart

实质上也便是将单个IP封停的IP部分换来了Linux的IP段表明式。关于IP段表明式网上有无数详细解释的,那里就不提了。

你能够证实一下是否平整都早就生效:

相信有了iptables的帮衬,消除小的DDoS之类的口诛笔伐也不在话下!

iptables -L

附:其余常用的下令

因此文章的介绍,大家精通的明白了CentOS下布署iptables防火墙的经过,希望我们都能明白它!

编辑 iptables 文件

二 、清除已有iptables规则

vi /etc/sysconfig/iptables

iptables -F    清除预设表filter中的全部规则链的平整
iptables -X   清除预设表filter中使用者自定链中的规则
iptables -Z

关闭/开启/重启防火墙

三 、开放内定的端口

/etc/init.d/iptables stop
#start 开启
#restart 重启

#同意地方回环接口(即运转本机访问本机)

证美赞臣(Meadjohnson)下是还是不是平整都早已生效:

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或有关连的交通
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#同意全体本机向外的走访
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
#假定有别的端口的话,规则也相近,稍微修改上述语句就行
#禁绝其他未同意的规则访问
iptables -A INPUT -j REJECT
(注意:借使22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT

iptables -L

实行完后,这么些配置就如用命令配置IP一样,重起就会错过效用。必须履行以下命令举行封存。

保留一视同仁启iptables

/etc/rc.d/init.d/iptables save

/etc/rc.d/init.d/iptables save
service iptables restart

4、屏蔽IP

linux下实用iptables封ip段的某个宽广命令:

#假设只是想屏蔽IP的话“三 、开放钦定的端口”能够一向跳过。
#遮掩单个IP的吩咐是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的通令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

封单个IP的吩咐是:

⑤ 、查看已添加的iptables规则

iptables -I INPUT -s 211.1.0.0 -j DROP

iptables -L -n
v:显示详细新闻,包含每条规则的匹配包数量和匹配字节数
x:在 v 的基本功上,禁止自动单位换算(K、M)
n:只展现IP地址和端口号,不将ip解析为域名

封IP段的授命是:

陆 、删除已添加的iptables规则

iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

将具有iptables以序号标记展现,执行:
iptables -L -n –line-numbers
诸如要刨除INPUT里序号为8的平整,执行:
iptables -D INPUT 8

封整个段的一声令下是:

七 、iptables的开机运维及规则保存

iptables -I INPUT -s 211.0.0.0/8 -j DROP

CentOS上也许会设有装置好iptables后,iptables并不开机自运维,能够执行一下:

封多少个段的命令是:

chkconfig –level 345 iptables on

iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP

将其出席开机运转。
CentOS上得以推行:service iptables save保存规则。

想在服务器运转自运转的话有多少个艺术:

注意:

① 、把它加到/etc/rc.local中

肯定要给协调留好后路,留VNC四个管制端口和SSh的军管端口

② 、iptables-save
>;/etc/sysconfig/iptables可以把您日前的iptables规则放到/etc/sysconfig/iptables中,系统运行iptables时自动执行。

内需注意的是,你无法不依照本人服务器的意况来修改那个文件。

叁 、service iptables save
也能够把您眼下的iptables规则放/etc/sysconfig/iptables中,系统运营iptables时自动执行。

后二种更好此,一般iptables服务会在network服务在此以前启来,更安全。

解封的话:
iptables -D INPUT -s IP地址 -j REJECT
iptables -F 全清掉了

Linux防火墙Iptable怎么着设置只同意有些ip访问80端口,只允许特定ip访问某端口?参考上边发号施令,只同意46.166.150.22走访本机的80端口。假若要安装任何ip或端口,改改即可。

iptables -I INPUT -p TCP –dport 80 -j DROP
iptables -I INPUT -s 46.166.150.22 -p TCP –dport 80 -j ACCEPT

在root用户下实行上面2行命令后,重启iptables, service iptables restart

翻开iptables是不是见效:

[root@www.xxx.com]# iptables -L
Chain INPUT (policy ACCEPT)
target      prot opt source        destination
ACCEPT   tcp – 46.166.150.22  anywhere      tcp dpt:http
DROP     tcp – anywhere       anywhere      tcp dpt:http

Chain FORWARD (policy ACCEPT)
target   prot opt source        destination

Chain OUTPUT (policy ACCEPT)
target   prot opt source        destination

地方命令是针对性任何服务器(全体ip)禁止80端口,倘诺只是内需禁止服务器上某些ip地址的80端口,如何做?

上面包车型客车吩咐是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp –dport 80 -j ACCEPT
iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp –dport 80 -j DROP

更加多iptables参考命令如下:

1.先备份iptables

# cp /etc/sysconfig/iptables /var/tmp

内需开80端口,钦定IP和局域网

上边三行的意味:

先关闭全数的80端口

开启ip段192.168.1.0/24端的80口

开启ip段211.123.16.123/24端ip段的80口

# iptables -I INPUT -p tcp –dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp –dport 80 -j ACCEPT

如上是一时半刻安装。

2.然后保存iptables

# service iptables save

3.重启防火墙

#service iptables restart

以下是端口,先全体封再开有个别的IP

iptables -I INPUT -p tcp –dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 9889 -j ACCEPT

倘使用了NAT转载记得协作之下才能奏效

iptables -I FORWARD -p tcp –dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 80 -j ACCEPT

常用的IPTABLES规则如下:

澳门金沙国际,只可以收发邮件,其他都关闭

iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p udp –dport 53 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 25 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0F:EA:25:51:37 -p tcp –dport 110 -j ACCEPT

IPSEC NAT 策略

iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp –dport 80 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp –dport 1723 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp –dport 500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:500 
iptables -t nat -A PREROUTING -p udp –dport 4500 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.100.2:4500

FTP服务器的NAT

iptables -I PFWanPriv -p tcp –dport 21 -d 192.168.1.22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp –dport 21 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:21

只同意访问钦命网址

iptables -A Filter -p udp –dport 53 -j ACCEPT
iptables -A Filter -p tcp –dport 53 -j ACCEPT
iptables -A Filter -d www.ctohome.com -j ACCEPT
iptables -A Filter -d www.guowaivps.com -j ACCEPT
iptables -A Filter -j DROP

盛开三个IP的部分端口,其它都封闭

iptables -A Filter -p tcp –dport 80 -s 192.168.1.22 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp –dport 25 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 109 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 110 -s 192.168.1.22 -j ACCEPT
iptables -A Filter -p tcp –dport 53 -j ACCEPT
iptables -A Filter -p udp –dport 53 -j ACCEPT
iptables -A Filter -j DROP

三个端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport –destination-port 22,53,80,110 -s
192.168.20.3 -j REJECT

延续端口

复制代码 代码如下:

iptables -A Filter -p tcp -m multiport –source-port 22,53,80,110 -s
192.168.20.3 -j REJECT iptables -A Filter -p tcp –source-port 2:80 -s
192.168.20.3 -j REJECT

点名时间上网

iptables -A Filter -s 10.10.10.253 -m time –timestart 6:00 –timestop 11:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j DROP
iptables -A Filter -m time –timestart 12:00 –timestop 13:00 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
iptables -A Filter -m time –timestart 17:30 –timestop 8:30 –days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

禁绝四个端口服务

iptables -A Filter -m multiport -p tcp –dport 21,23,80 -j ACCEPT

将WAN 口NAT到PC

复制代码 代码如下:

iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j
DNAT –to-destination 192.168.0.1

将WAN口8000端口NAT到192。168。100。200的80端口

复制代码 代码如下:

iptables -t nat -A PREROUTING -p tcp –dport 8000 -d $INTERNET_ADDR -j
DNAT –to-destination 192.168.1.22:80

MAIL服务器要转的端口

iptables -t nat -A PREROUTING -p tcp –dport 110 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:110
iptables -t nat -A PREROUTING -p tcp –dport 25 -d $INTERNET_ADDR -j DNAT –to-destination 192.168.1.22:25

只同意PING 202。96。134。133,别的服务都禁止

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP

禁用BT配置

iptables –A Filter –p tcp –dport 6000:20000 –j DROP

剥夺QQ防火墙配置

iptables -A Filter -p udp –dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP

基于MAC,只好收发邮件,其余都不肯

iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 25 -j ACCEPT
iptables -I Filter -m mac –mac-source 00:0A:EB:97:79:A1 -p tcp –dport 110 -j ACCEPT

禁用MSN配置

iptables -A Filter -p udp –dport 9 -j DROP
iptables -A Filter -p tcp –dport 1863 -j DROP
iptables -A Filter -p tcp –dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp –dport 80 -d 207.46.110.0/24 -j DROP

只同意PING 202。96。134。133 其余公网IP都得不到PING

iptables -A Filter -p icmp -s 192.168.1.22 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP

取缔有些MAC地址访问internet:

iptables -I Filter -m mac –mac-source 00:20:18:8F:72:F8 -j DROP

不准某些IP地址的PING:

iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

禁止某些IP地址服务:

iptables –A Filter -p tcp -s 192.168.0.1 –dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 –dport 53 -j DROP

只允许一些服务,别的都不肯(2条平整)

iptables -A Filter -p tcp -s 192.168.0.1 –dport 1000 -j ACCEPT
iptables -A Filter -j DROP

禁止有个别IP地址的有个别端口服务

iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 –dport 80 -j DROP

禁绝有些MAC地址的某些端口服务

iptables -I Filter -p tcp -m mac –mac-source 00:20:18:8F:72:F8 –dport 80 -j DROP

禁止有个别MAC地址访问internet:

iptables -I Filter -m mac –mac-source 00:11:22:33:44:55 -j DROP

禁绝有些IP地址的PING:

iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

如上正是本文的全体内容,希望对大家的读书抱有帮忙,也愿意我们多多扶助脚本之家。

您或者感兴趣的文章:

  • CentOS
    7.0关门暗中认可防火墙启用iptables防火墙的安装方式
  • CentOS7设置iptables防火墙的办法
  • Ali云Centos布局iptables防火墙教程
  • 一键安排CentOS
    iptables防火墙的Shell脚本分享
  • Linux防火墙iptables入门教程
  • 修改iptables防火墙规则消除vsftp登录后不展现文件目录的标题
  • linux扩充iptables防火墙规则的演示

相关文章