linux防火墙规则设置(linux查看防火墙状态命令)
概述
今天主要分享下关于Linux服务器上iptables一些常用的命令和生产环境的一些配置,下面一起来看看吧!
当前iptables的配置情况
iptables -L -n
清除默认的防火墙规则
#首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
#这个一定要先做,不然清空后可能会悲剧
iptables -P INPUT ACCEPT
#清空默认所有规则
iptables -F
#清空自定义的所有规则
iptables -X
#计数器置0
iptables -Z
配置防火墙规则
#允许来自于lo接口的数据包
#如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT
#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#如果要添加内网ip信任(接受其所有TCP请求)
iptables -A INPUT -p tcp -s 172.26.150.1-j ACCEPT
#过滤所有非以上规则的请求
iptables -P INPUT drop
#要封停一个IP,使用下面这条命令:
iptables -I INPUT -s ***.***.***.*** -j drop
#要解封一个IP,使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j drop
保存配置
首先iptables -L -n看一下配置是否正确,没问题后,先不要急着保存,因为没保存只是当前有效,重启后就不生效,这样万一有什么问题,可以后台强制重启服务器恢复设置。
另外开一个ssh连接,确保可以登陆,确保没问题之后保存
#保存
service iptables save
#添加到自启动chkconfig
chkconfig iptables on
修改防火墙端口:修改/etc/sysconfig/iptables 文件
iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 10.26.211.183 -j ACCEPT iptables -A INPUT -p tcp -s 10.26.211.184 -j ACCEPT
觉得有用的朋友多帮忙转发哦!后面会分享更多devops和DBA方面的内容,感兴趣的朋友可以关注下~