iptables和firewalld命令

firewalld

开启80端口

[root@Mike-VM-Node-172_31_225_214 ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@Mike-VM-Node-172_31_225_214 ~]# 

出现success表明添加成功

删除80端口

[root@Mike-VM-Node-172_31_225_214 ~]# firewall-cmd --zone= public --remove-port=80/tcp --permanent

更新防火墙规则

[root@Mike-VM-Node-172_31_225_214 ~]# firewall-cmd --reload

查看防火墙开放那些端口

[root@Mike-VM-Node-172_31_225_214 ~]#firewall-cmd --list-ports

命令含义

--zone #作用域

--add-port=80/tcp #添加端口，格式为：端口/通讯协议

--permanent #永久生效，没有此参数重启后失效

 

重启防火墙:   # systemctl restart firewalld.service

启动防火墙：# systemctl start firewalld

查看状态：   # systemctl status firewalld 或者 firewall-cmd --state

停止：# systemctl disable firewalld

禁用：# systemctl stop firewalld

显示状态：$ firewall-cmd --state

查看区域信息: $ firewall-cmd --get-active-zones

查看指定接口所属区域：$ firewall-cmd --get-zone-of-interface=eth0

拒绝所有包：# firewall-cmd --panic-on

取消拒绝状态：# firewall-cmd --panic-off

查看是否拒绝：$ firewall-cmd --query-panic

更新防火墙规则：# firewall-cmd --reload

# firewall-cmd --complete-reload

 

关闭firewall

# systemctl stop firewalld.service                                                    # 停止firewall

# systemctl disable firewalld.service                                               # 禁止firewall开机启动

# systemctl mask firewalld.service                                                  # 禁止firewall服务

安装iptables

# yum install iptables-services iptables                                           # 安装

# systemctl restart iptables.service                                                 # 重启防火墙使配置生效

# systemctl enable iptables.service                                                # 设置防火墙开机启动

# systemctl disable iptables.service                                               # 禁止防火墙开机启动

# iptables -L -n                                                                               # 查看iptables现有规则

# vi /etc/sysconfig/iptables                                                             # 配置防火墙，允许22和80端口开放

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

 

# systemctl iptables save                                                                  # 保存防火墙配置

# systemctl restart iptables.service                                                   # 重启防火墙

允许192.168.7.120访问本机所有ip端口(即运行本机访问本机)

# vi /etc/sysconfig/iptables 

 -A INPUT -s 192.168.7.120 -d 0.0.0.0/0 -j ACCEPT

 

 

禁止来自 192.168.7.100 ip 地址访问 80 端口的请求

# vi /etc/sysconfig/iptables

-A INPUT -s 192.168.7.100 -p tcp --dport 80 -j REJECT

 

拒绝来自192.168.0.0/24网段的访问

# vi /etc/sysconfig/iptables

-A INPUT -s 192.168.0.0 -j REJECT

 

目标地址192.168.7.131的访问给予记录

# vi /etc/sysconfig/iptables

-A INPUT -s 192.168.7.131 -p tcp -j LOG

 

拒绝任何地址访问本机的8080端口

# vi /etc/sysconfig/iptables

-A INPUT -p tcp --dport 8080 -j REJECT

 

拒绝192.168.0.0/24网段的1024的源端口访问SSH

# vi /etc/sysconfig/iptables

-A INPUT -s 192.168.0.0/24 -p tcp --sport 1024 --dport 22 -j REJECT

 

防范DDOS攻击脚本

防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

 

防范CC攻击

控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30

 

控制单个IP的某段时间的连接数

iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j REJECT
iptables -A INPUT -p icmp -j DROP

 

本文分享完毕，感谢支持点赞~~