防火墙-iptables
充许指定端口被访问:
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 18388 -j ACCEPT
内参配置:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8379 -j ACCEPT
/etc/init.d/iptables save
service iptables restart
永久关闭防火墙:
hkconfig --level 35 iptables off
本地端口转发
iptables -t nat -A OUTPUT -p tcp -d 192.168.1.103 --dport 3306 -j DNAT --to 10.19.160.167:3306
限制与18286端口连接的IP最大连接数为30(good)
iptables -I INPUT -p tcp --dport 18286 -m connlimit --connlimit-above 30 -j REJECT
限制同一IP同时最多30个http连接(没什么用)
iptables -I INPUT -p tcp --syn --dport 18286 -m connlimit --connlimit-above 30 -j REJECT
封停一个IP
iptables -I INPUT -s 23.62.109.161 -j DROP
开放一段IP访问
iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
删除一条规则
iptables -D INPUT 3
------
关闭指定端口,然后开发内部访问
关闭所有的27017端口
iptables -I INPUT -p tcp --dport 27017 -j DROP
开启ip段192.168.30.0/24 ip段的27017 端口
iptables -I INPUT -s 192.168.30.0/24 -p tcp --dport 27017 -j ACCEPT
开启本地的27017 端口
iptables -I INPUT -s 127.0.0.1 -p tcp --dport 27017 -j ACCEPT
修改防火墙配置:vi /etc/sysconfig/iptables
开放22端口给一IP的访问
#-A INPUT -s 219.137.37.186 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#关掉全部input链路
iptables -P INPUT DROP
允许由服务器本身请求的数据通过
说明一下,这6句基本上都是要的。
首先写下这6句话:
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包出去
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包进入
iptables -A INPUT -s localhost -d localhost -j ACCEPT
允许本地的数据包
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
允许本地数据包
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许icmp包出去
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包进入
---------------
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
--------------
/etc/sysconfig/iptables
#限制与18286端口连接的IP最大连接数为30
命令: iptables -t nat -A OUTPUT -p tcp -d 192.168.1.103 --dport 3306 -j DNAT --to 10.19.160.167:3306
iptables内参数:-A INPUT -p tcp -m tcp --dport 18242 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
#允许指定IP访问特定端口
命令: iptables -I INPUT -s 219.137.37.186/32 -p tcp --dport 22 -j ACCEPT
iptables内参数: -A INPUT -s 219.137.37.186/32 -p tcp -m tcp --dport 22 -j ACCEPT
#开放特定端口:
命令: iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables内参数:
-A INPUT -p tcp -m tcp --dport 19009 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 19009 -j ACCEPT
gps无法访问----
# -A INPUT -j REJECT --reject-with icmp-host-prohibited
# -A FORWARD -j REJECT --reject-with icmp-host-prohibited
--------
CentOS 7 firewalld 取代 iptables
查看防火墙状态: systemctl status firewalld 或 service firewalld status
关闭:
systemctl stop firewalld.service
systemctl disable firewalld.service
- 本文标签: 暂无相关标签
- 本文链接: https://www.jimmy2k.top/article/132
- 版权声明: 本文由JimmyZ的个人博客原创发布,转载请遵循《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权