如何在redhat或centos中,通过修改/etc/sysconfig/iptables文件来设置iptables防火墙呢?
1、编辑防火墙配置文件:
vi /etc/sysconfig/iptables
复制代码 代码示例:
-A INPUT -p udp -m udp --dport 161 -j ACCEPT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [51:5942]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s 59.57.251.34 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 218.5.74.235 -p tcp -m tcp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 59.57.251.38 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,25,80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9000:9045 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 161 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 10598 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -j DROP
COMMIT
说明:
-A INPUT -s 59.57.251.34 -p tcp -m tcp --dport 22 -j ACCEPT
-s 59.57.251.34:源IP为59.57.251.34
-p tcp:tcp协议
-m tcp:使用 tcp 扩展模块的功能 (tcp扩展模块提供了 --dport等功能)
-dport 22:目标端口为22
-j ACCEPT:接受请求
-A OUTPUT -j ACCEPT
默认出去的数据包都可以通过防火墙
-A INPUT -j DROP
默认进来的数据包都被防火墙丢弃
防火墙规则是从上到下走的,所以这两条放在最后面;
即除了上面的那些特殊规则,都按最后的两个默认设置来执行;
2、重启防火墙
复制代码 代码示例:
service iptables stop
service iptables start
3、查看防火墙规则
iptables -L