防火墙规则

修改ssh端口
vim /etc/ssh/sshd_config
22221

vim /etc/sysconfig/iptables
配置文件

然后设置防火墙
iptables -A INPUT -p tcp --dport 22221 -j ACCEPT

iptables-save

systemctl restart iptables
#yum install iptables-services
#service enable iptables //设置开机启动

1、查看
iptables -nvL –line-number

-L 查看当前表的所有规则，默认查看的是filter表，如果要查看NAT表，可以加上-t NAT参数
-n 不对ip地址进行反查，加上这个参数显示速度会快很多
-v 输出详细信息，包含通过该规则的数据包数量，总字节数及相应的网络接口
–line-number 显示规则的序列号，这个参数在删除或修改规则时会用到


带序号查看当前规则
iptables -nL --line-number

添加
添加一条规则到尾部
iptables -A INPUT -s 192.168.1.1 -j DROP
iptables -A INPUT -p tcp --dport 22221 -j ACCEPT

删除
删除用-D参数
iptables -D INPUT -s 192.168.1.5 -j DROP  原始没有优化的方法
iptables -nL --line-number
iptables -D INPUT 2 删除编号为2的规则

修改规则 -R参数
iptables -nL --line-number
iptables -R INPUT 3 -j ACCEPT  将编号为3的规则改为ACCEPT



添加默认配置
iptables -P INPUT DROP    #默认不允许进包
iptables -P FORWARD DROP  #默认不允许转发包
iptables -P OUTPUT ACCEPT #默认允许本地包出去


生产线上的iptables规则  /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Wed Sep 28 18:06:07 2016
# Generated by iptables-save v1.4.7 on Wed Sep 28 18:06:07 2016
*filter
:INPUT DROP [8:632]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4:416]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.135.0/24 -j ACCEPT
-A INPUT  -p tcp -m tcp --dport 22221 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# # Completed on Wed Sep 28 18:06:07 2016