CentOS7安装教程：设置iptables防火墙

小萌新

　　站长都知道CentOS 是一个在Red Hat Linux 基础之上，提供的可随意使用源代码的企业级Linux发行版本。而CentOS7默认的防火墙是firewalle，而不是iptables,在使用其的过程中需要自行安装iptables防火墙，下面是整理的一些材料：

CentOS7安装教程

　　安装iptable iptable-service：
　　检查是否成功安装iptables
　　#service iptables status
　　安装iptables
　　#yum install -t iptables
　　升级iptables
　　#yum update iptables
　　安装iptables-services
　　#yum install iptables-services
　　禁用firewalld服务：
　　禁用自带的firewalld服务
　　#systemctl stop firewalld
　　#systemctl mask firewalld
　　设置现有规则：
　　查看iptables现有规则
　　#iptables -L -n
　　先允许所有，防止后面操作出现错误
　　#iptables -P INPUT ACCEPT
　　清空所有默认规则
　　#iptables -F
　　清空所有自定义规则
　　#iptables -Z
　　允许来自与lo接口的数据包(本地访问)
　　#iptables -A INPUT -i lo -j ACCEPT
　　开放22端口
　　#iptables -A INPUT -p tcp –dport 22 -j ACCEPT
　　开放21端口(FTP)
　　#iptables -A INPUT -p tcp –dport 21 -j ACCEPT
　　开放80端口(HTTP)
　　#iptables -A INPUT -p tcp –dport 80 -j ACCEPT
　　开放443端口(HTTPS)
　　#iptables -A INPUT -p tcp –dport 443 -j ACCEPT
　　允许ping
　　#iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
　　允许接收本机请求之后的返回数据RELATED，是为FTP设置的
　　#iptables -A INPUT -m state –state RELATED,ESTABLSHED -j ACCEPT
　　其他入站一律丢弃
　　#iptables -P INPUT DROP
　　设置出站允许规则
　　#iptables -P INPUT ACCEPT
　　所有转发一律删除
　　#iptables -P FORWARD DROP
　　其他规则设定：
　　如果要添加内网ip新人(接收其所有TCP请求)
　　#iptables -A INPUT -p tcp -s 192.168.0.1 -j ACCEPT
　　过滤所有非以上规则的请求
　　#iptables -P INPUT DROP
　　要封停一个IP，请使用下面命令：
　　#iptables -I INPUT -s ***.***.***.*** -j DROP
　　要解封一个IP，请使用下面这条命令：
　　#iptables -D INPUT -s ***.***.***.*** -j DROP
　　保存规则设定：
　　保存上述规则
　　#service iptables save
　　开启iptables服务：
　　#systemctl start iptables.service
　　查看状态
　　#systemctl status iptables.service
　　解决vsftpd在iptables开启后，无法使用被动模式的问题
　　首先在/etc/sysconfig/iptables-config中修改或者添加以下内容：
　　添加以下内容，注意顺序不能调换
　　IPTABLES_MODULE=“ip_conntrack_ftp”
　　IPTABLES_MODULES=“ip_nat_ftp”
　　重新设置iptables设置：
　　#iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
　　以下为完整设置脚本
　　#!/bin/sh
　　iptables -P INPUT ACCEPT
　　iptables -F
　　iptables -X
　　iptables -Z
　　iptables -A INPUT -i lo -j ACCEPT
　　iptables -A INPUT -p tcp –dport 22 -j ACCEPT
　　iptables -A INPUT -p tcp –dport 21 -j ACCEPT
　　iptables -A INPUT -p tcp –dport 80 -j ACCEPT
　　iptables -A INPUT -p tcp –dport 443 -j ACCEPT
　　iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
　　iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
　　iptables -P INPUT DROP
　　iptables -P OUTPUT ACCEPT
　　iptables -P FORWARD DROP
　　service iptables save

　　systemctl restart iptables.service
获得更多主机资讯信息，请及时关注WHT论坛站，我们将第一时间分享您想知道的主机相关信息介绍和其他互联网等信息。