iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置。
配置CentOS和Ubuntu等Linux服务器时需要对服务器的iptables进行配置,以下是iptables常见的几种配置方法。
1.查看当前所有的iptables配置
| 代码如下 | 复制代码 |
|
iptables -L -n |
|
2.添加允许INPUT访问规则,以下时常见服务的端口设置,如果需要拒绝访问,则将ACCEPT改为DROP即可
| 代码如下 | 复制代码 |
|
#SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT #HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j ACCEPT #HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT #POP3 iptables -A INPUT -p tcp --dport 110 -j ACCEPT #SMTP iptables -A INPUT -p tcp --dport 25 -j ACCEPT #FTP iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT #DNS iptables -A INPUT -p tcp --dport 53 -j ACCEPT |
|
3.添加使用IP限制INPUT访问规则,这里拿SSH为例,192.168.0.100为允许的IP
| 代码如下 | 复制代码 |
|
#DELETE iptables -D INPUT -p tcp --dport 22 -j ACCEPT #ADD iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT |
|
4.保存iptables的设置,修改完规则后记得保存
| 代码如下 | 复制代码 |
|
/etc/rc.d/init.d/iptables save |
|
5.重启iptables
| 代码如下 | 复制代码 |
|
service iptables restart |
|
6.开启/关闭 开机启动
| 代码如下 | 复制代码 |
|
chkconfig iptables on chkconfig iptables off |
|
7 .打开iptables的配置文件:
| 代码如下 | 复制代码 |
|
vi /etc/sysconfig/iptables |
|
通过/etc/init.d/iptables status命令查询是否有打开80端口,如果没有可通过两种方式处理:
8.修改vi /etc/sysconfig/iptables命令添加使防火墙开放80端口
| 代码如下 | 复制代码 |
|
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT |
|
9.关闭/开启/重启防火墙
| 代码如下 | 复制代码 |
|
/etc/init.d/iptables stop #start 开启 #restart 重启 |
|
10.永久性关闭防火墙
| 代码如下 | 复制代码 |
|
chkconfig --level 35 iptables off /etc/init.d/iptables stop |
|
11.打开主动模式21端口
| 代码如下 | 复制代码 |
| iptables -A INPUT -p tcp --dport 21 -j ACCEPT | |
12.打开被动模式49152~65534之间的端口
| 代码如下 | 复制代码 |
|
iptables -A INPUT -p tcp --dport 49152:65534 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT |
|
注意:
一定要给自己留好后路,留VNC一个管理端口和SSh的管理端口
需要注意的是,你必须根据自己服务器的情况来修改这个文件。
全部修改完之后重启iptables:
| 代码如下 | 复制代码 |
|
service iptables restart |
|
你可以验证一下是否规则都已经生效:
| 代码如下 | 复制代码 |
|
iptables -L |
|
通过文章的介绍,我们清楚的知道了CentOS下配置iptables防火墙的过程
例
在虚拟机搭建web后,主机访问不了,具体情况如下:
1。本机能ping通虚拟机
2。虚拟机也能ping通本机
3。虚拟机能访问自己的web
4。本机无法访问虚拟己的web
这时应该要想到是防火墙的原因。关于防火墙的设置网上很多例子,也有点复杂,在这里我就不介绍了。这里只解决如何让主机能够通过ip访问虚拟机的web。
| 代码如下 | 复制代码 |
| [root@CentOS ~]# vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT |
|
注意上面红色的一行。80端口是默认的web端口。22为ssh的端口(可通过ssh连接虚拟机了)。
重启防火墙让刚才的修改生效。
| 代码如下 | 复制代码 |
| [root@CentOS ~]# /etc/init.d/iptables restart | |
这时,你再在主机上通过ip访问虚拟机的web,应该就可以了。
推荐一篇:linux/iptables.htm">iptables防火墙配置指南