CentOS&7系统中使用Iptables建立防火墙
内容来源于PPPCloud官网教程
Netfilter是Linux系统的防火墙框架。它是作为Linux发行版的一部分，它在默认情况下启用。该防火墙由iptables下发规则。netfilter的过滤发生在内核级别，甚至可以在程序之前处理来自网络的数据包。
防火墙修改
7默认使用的是firewall作为防火墙，可以改为iptables作为防火墙
在开源的镜像网站中下载iptables-server的rpm包进行安装，下载地址为：
/centos/7/os/x86_64/Packages/
关闭firewall
systemctl stop firewalld.servicesystemctl
disable firewalld.service
安装iptables
rpm -ivh iptables-services-1.4.21-13.el7.x86_64.rpm
Iptables配置文件
CentOS中默认的iptables的配置文件是/etc/sysconfig/iptables。系统脚本通过读取这个文件激活防火墙。
显示默认规则
输入下面的命令：
iptables --line-numbers -n -L
输出示例：
Chain INPUT (policy ACCEPT)num&
targetprot opt
source&&&&&&&&&&&&&&
destination<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
INPUT& all& --&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&Chain
FORWARD (policy ACCEPT)num&
targetprot opt
source&&&&&&&&&&&&&&
destination<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
INPUT& all& --&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&Chain
OUTPUT (policy ACCEPT)num&
targetprot opt
source&&&&&&&&&&&&&&
destination&Chain
INPUT (2 references)num&
targetprot opt
source&&&&&&&&&&&&&&
destination<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&&&&&&&&&&
icmp type 255<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&&&&&
224.0.0.251&&&&&&&&
udp dpt:5353<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&
&&&&0.0.0.0/0&&&&&&&&&&
udp dpt:53<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&&&&&&&&&&
state RELATED,ESTABLISHED<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&&&&&&&&&&
state NEW tcp dpt:22<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
ACCEPT&&&&
0.0.0.0/0&&&&&&&
&&&&0.0.0.0/0&&&&&&&&&&
state NEW tcp dpt:53<span STYLE="font-family:&微软雅黑&,sans-mso-fareast-font-family:宋体;color:#&&&
REJECT&&&&
0.0.0.0/0&&&&&&&&&&&
0.0.0.0/0&&&&&&&&&&
reject-wit
开启防火墙：
输入下面的两行命令开启防火墙：
systemctl enable iptables.servicesystemctl
start iptables
下面的命令可以重启防火墙
systemctl restart iptables
关闭防火墙：
systemctl stop iptables
查看状态：
systemctl status iptables
开启防火墙的状态如下所示
#systemctl status iptables.serviceiptables.service
- IPv4 firewall with iptables&
Loaded: loaded (/usr/lib/systemd/system/iptables.
Active: active (exited) since Mon
09:25:10 EDT; ls
Process: 17835 ExecStop=/usr/libexec/iptables/iptables.init stop
(code=exited, status=0/SUCCESS)
Process: 17889 ExecStart=/usr/libexec/iptables/iptables.init start
(code=exited, status=0/SUCCESS)Main
PID: 17889 (code=exited, status=0/SUCCESS)
配置文件/etc/sysconfig/iptables
输入下面的命令：
# vi /etc/sysconfig/iptables
你将会看到下面的默认的规则：
*filter&:INPUT
ACCEPT [0:0]&:FORWARD
ACCEPT [0:0]&:OUTPUT
ACCEPT [0:0]&:INPUT
INPUT -j INPUT-A
FORWARD -j INPUT-A
INPUT -i lo -j ACCEPT-A
INPUT -p icmp --icmp-type any -j ACCEPT-A
INPUT -p udp --dport 5353 -d 224.0.0.251 -j
INPUT -p udp -m udp --dport 53 -j ACCEPT-A
INPUT -m state --state ESTABLISHED,RELATED -j
INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j
INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j
INPUT -j REJECT --reject-with
icmp-host-prohibitedCOMMIT
删除所有的流量
找到下面这几行：
*filter&:INPUT
ACCEPT [0:0]&:FORWARD
ACCEPT [0:0]&:OUTPUT
ACCEPT [0:0]
像下面这样进行更新，将INPUT和FORWARD的ACCEPT改为DROP：
:INPUT DROP [0:0]&:FORWARD
DROP [0:0]
登录并丢弃欺骗性的源地址
在最后的COMMIT行之前增加以下行：
-A INPUT -i eth0 -s 10.0.0.0/8 -j LOG --log-prefix "IP DROP SPOOF
INPUT -i eth0 -s 172.16.0.0/12 -j LOG --log-prefix "IP DROP SPOOF
INPUT -i eth0 -s 192.168.0.0/16 -j LOG --log-prefix "IP DROP SPOOF
INPUT -i eth0 -s 224.0.0.0/4 -j LOG --log-prefix "IP DROP MULTICAST
INPUT -i eth0 -s 240.0.0.0/5 -j LOG --log-prefix "IP DROP SPOOF
INPUT -i eth0 -d 127.0.0.0/8 -j LOG --log-prefix "IP DROP LOOPBACK
INPUT -i eth0 -s 169.254.0.0/16& -j LOG
--log-prefix "IP DROP MULTICAST "-A
INPUT -i eth0 -s 0.0.0.0/8& -j LOG --log-prefix
"IP DROP "-A
INPUT -i eth0 -s& 240.0.0.0/4& -j
LOG --log-prefix "IP DROP "-A
INPUT -i eth0 -s&
255.255.255.255/32& -j LOG --log-prefix "IP
INPUT -i eth0 -s 168.254.0.0/16& -j LOG
--log-prefix "IP DROP "-A
INPUT -i eth0 -s 248.0.0.0/5& -j LOG --log-prefix
"IP DROP "
登录并丢弃所有流量
找到下面这行：
-A INPUT -j REJECT --reject-with
icmp-host-prohibited&COMMIT
改成下面这样：
-A INPUT -j LOG-A
INPUT -j DROP&COMMIT
在COMMIT行之前增加下面的行以打开80端口（http服务）：
-A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
在COMMIT行之前增加下面的行以打开53端口（DNS服务）：
-A INPUT -m tcp -p tcp --dport 53 -j ACCEPT-A
INPUT -m udp -p tcp --dport 53 -j ACCEPT
在COMMIT行之前增加下面的行以打开443端口（https服务）：
-A INPUT -m tcp -p tcp --dport 443 -j ACCEPT
在COMMIT行之前增加下面的行以打开25端口（smtp服务）：
-A INPUT -m tcp -p tcp --dport 25 -j ACCEPT
只允许从192.168.1.0/24开始的SSH流量
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22
启用打印访问192.168.1.0/24
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j
INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j
允许合法NTP客户端访问服务器
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123
打开FTP21端口
-A INPUT -m state --state NEW -p tcp --dport 21 -j
保存并关闭文件
输入以下内容，编辑/etc/sysconfig/iptables-config文件：
# vi /etc/sysconfig/iptables-config
确保FTP模块与空间分隔的模块列表一起被加载：
IPTABLES_MODULES="ip_conntrack_ftp"
输入下面的命令重启防火墙：
# systemctl restart iptables#
iptables -vnL --line-numbers
编辑/etc/sysctl.conf用于DOS和SYN防护
编辑/etc/sysctl.conf，用来防御特定类型的攻击。将该文件更新如下：
net.ipv4.conf.all.log_martians = 1net.ipv4.conf.default.accept_source_route
= 0net.ipv4.conf.default.accept_redirects
= 0net.ipv4.conf.default.secure_redirects
= 0net.ipv4.icmp_echo_ignore_broadcasts
= 1#net.ipv4.icmp_ignore_bogus_error_messages
= 1net.ipv4.tcp_syncookies
= 1net.ipv4.conf.all.rp_filter
= 1net.ipv4.conf.default.rp_filter
&原文请见链接：/community_courseInfo.html?id=900022
PPPCloud官网教程，分享技术，极致为您~
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。VPS上iptables防火墙的基本设置 | 胡中山博客
iptables是Linux上常用的防火墙软件，一般VPS系统里面默认都有集成。
1、安装iptables防火墙
如果没有安装iptables需要先安装，CentOS执行：
yum install iptables
Debian/Ubuntu执行：
apt-get install iptables
2、清除已有iptables规则
iptables -F
iptables -X
iptables -Z
3、开放指定的端口
#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport
#如果有其他端口的话，规则也类似，稍微修改上述语句就行
#禁止其他未允许的规则访问（注意：如果22端口未加入允许规则，SSH链接会直接断开。）
1）.用DROP方法
iptables -A INPUT -p tcp -j DROP
2）.用REJECT方法
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、查看已添加的iptables规则
iptables -L -n
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M） vps侦探
n：只显示IP地址和端口号，不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示，执行：
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则，执行：
iptables -D INPUT 8
6、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：
chkconfig --level 345 iptables on
将其加入开机启动。
CentOS上可以执行：service iptables save保存规则。
Debian/Ubuntu上iptables是不会保存规则的。需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则。
如果当前用户不是root,即使使用了sudo,也会提示你没有权限,无法保存,所以执行本命令,你必须使用root用户.
可以使用sudo -i快速转到root,使用完成,请及时使用su username切换到普通帐户.
为了重启服务器后,规则自动加载,我们创建如下文件:
sudo vim /etc/network/if-pre-up.d/iptables
#!/bin/bash
iptables-save & /etc/iptables.rules
添加执行权限。
chmod +x /etc/network/if-pre-up.d/iptables
附上基础规则：
:INPUT ACCEPT [106:85568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [188:168166]
:RH-Firewall-1-INPUT - [0:0]
#允许本地回环接口(即运行本机访问本机)
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
-A OUTPUT -j ACCEPT
#允许PPTP拨号翻墙
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
#仅特定主机访问Rsync数据同步服务
-A INPUT -s 8.8.8.8/32 -p tcp -m tcp --dport 873 -j ACCEPT
#仅特定主机访问WDCP管理系统
-A INPUT -s 6.6.6.6/32 -p tcp -m tcp --dport 8080 -j ACCEPT
#允许访问SSH
-A INPUT -p tcp -m tcp --dport 1622 -j ACCEPT
#允许访问FTP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
#允许访问网站服务
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#禁止所有未经允许的连接
-A INPUT -p tcp -j DROP
#注意：如果22端口未加入允许规则，SSH链接会直接断开。
#-A INPUT -j REJECT
#-A FORWARD -j REJECT
可以使用一下方法直接载入：
1、复制上面的规则粘贴到这里,保存本文件
sudo vim /etc/iptables.test.rules
2、把本规则加载,使之生效,注意,iptables不需要重启,加载一次规则就成了
sudo iptables-restore < /etc/iptables.test.rules
3、查看最新的配置,应该所有的设置都生效了.
sudo iptables -L -n
4、保存生效的配置,让系统重启的时候自动加载有效配置（iptables提供了保存当前运行的规则功能）
iptables-save > /etc/iptables.rules
本条目发布于。属于分类。作者是。centos7+关闭防火墙后+无法访问端口是怎么回事
centos7+关闭防火墙后+无法访问端口
以下内容已过滤百度推广
日 - centos7配置好web服务,设置好防火墙后,无法访问 centos7 linux coc...找到问题所在了,因为使用的是腾讯云,默认公网是关闭所有端口的,要在官网...&&普通
日&-&打算开放一个端口15900。可是无论怎么设置防火墙,或者干脆关闭防火墙。就是不能被外部机器访问(在同一内网网段机器)。 本机访问没有问题(127.0.0.1)。...&&普通
日&-&centos7使用firewalld打开关闭防火墙与端口 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld
停止: ...&&普通
【问题】我centos7 系统防火墙已经关闭 为啥80端口还是无法访问呀 查看防火墙状态已经关闭: [root@localhost wang]# systemctl status firewalld firewalld.service...&&普通
日&-&生命,是无法定制和预先设计的。只要生命是健康又向上...centos7 关闭防火墙,过滤端口 标签: centos7防火墙...访问:339886次 积分:4379
积分:4...&&普通
我centos7.0 安装完tomcat后为什么不能访问localhost:8080 端口咋配置 与防火墙有关吗求指教 【cent2】a.l. 防火墙要配置 【cent1】mr.lonely 咋配置 啊 这个...&&普通
启对应端口的服务更多关于centos7 关闭防火墙后 无法访问端口的问题&&&&专业问答网站
日&-&centos7配置好web服务,设置好防火墙后,无法访问 centos7 linux coc...找到问题所在了,因为使用的是腾讯云,默认公网是关闭所有端口的,要在官网的控制台...&&普通
日&-&centos 7下防火墙(firewalld)添加例外访问端口问题 [问题点数:40分,结帖人...回复内容 匿名用户不能发表回复!登录|注册 移动客户端回帖所得专家分翻倍...&&普通
日&-&centos7使用firewalld打开关闭防火墙、端口 时间:2016-...entos 7版本以后默认使用firewalld后,网上关于iptables...internal:信任所有连接 对防火墙不...&&普通
出自近似词猜&正规性权威性5地理位置网址标题|网址|摘要F0内容略分类信息&|&猜&非正规提权略略略精确匹配1内容略分类信息&|&猜&非正规提权略略略精确匹配2内容略分类信息&|&猜&非正规提权略略略部分匹配3内容略分类信息&|&猜&非正规提权略略略部分匹配4内容略分类信息&|&猜&非正规提权略略略部分匹配5内容略分类信息&|&猜&非正规提权略略略同义词6内容略分类信息&|&猜&非正规提权略略略部分匹配7内容略分类信息&|&猜&非正规提权略略略精确匹配8内容略分类信息&|&猜&非正规提权略略略部分匹配9内容略分类信息&|&猜&非正规提权略略略部分匹配10
12时间限制猜&实时动态5相关检索词泛时效性8F1略略略略略略略略1略略略略略略略略2略略略略略略略略3略略略略略略略略4略略略略略略略略5略略略略略略略略6略略略略略略略略7略略略略略略略略8略略略略略略略略9略略略略略略略略10
url2345摘要前标题后标题F2略略略略略正文略1略略略略略正文略2略略略略略正文略3略略略略略正文略4略略略略略正文略5略略略略略正文略6略略略略略正文略7略略略略略正文略8略略略略略正文略9略略略略略正文略10
结果23原创猜&网址形式6相关词猜&相似度F3略略略略主页次优先&|&子页内容充实略略精确匹配1略略略略主页次优先&|&子页内容充实略略精确匹配2略略略略子页优先级较低略召回D3略略略略主页次优先&|&子页内容充实略略D4略略略略子页优先级较低略略D5略略略略主页次优先&|&子页内容充实略略同义词6略略略略子页优先级较低略略D7略略略略子页优先级较低略略精确匹配8略略略略子页优先级较低略略D9略略略略主页次优先&|&子页内容充实略召回D10