防火墙-iptables

充许指定端口被访问:
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 18388 -j ACCEPT

内参配置:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8379 -j ACCEPT

/etc/init.d/iptables save
service iptables restart
永久关闭防火墙:
hkconfig --level 35 iptables off
本地端口转发
iptables -t nat -A OUTPUT -p tcp -d 192.168.1.103 --dport 3306 -j DNAT --to 10.19.160.167:3306
限制与18286端口连接的IP最大连接数为30(good)
iptables -I INPUT -p tcp --dport 18286 -m connlimit --connlimit-above 30 -j REJECT
限制同一IP同时最多30个http连接(没什么用)
iptables -I INPUT -p tcp --syn --dport 18286 -m connlimit --connlimit-above 30 -j REJECT
封停一个IP
iptables -I INPUT -s 23.62.109.161 -j DROP
开放一段IP访问
iptables -I INPUT -s 192.168.1.0/24 -i eth0  -j ACCEPT
删除一条规则
iptables -D INPUT 3

------

关闭指定端口，然后开发内部访问

关闭所有的27017端口
iptables -I INPUT -p tcp --dport 27017 -j DROP

开启ip段192.168.30.0/24 ip段的27017 端口
iptables -I INPUT -s 192.168.30.0/24 -p tcp --dport 27017 -j ACCEPT

开启本地的27017 端口

iptables -I INPUT -s 127.0.0.1 -p tcp --dport 27017 -j ACCEPT

修改防火墙配置：vi  /etc/sysconfig/iptables

开放22端口给一IP的访问

#-A INPUT -s 219.137.37.186 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

#关掉全部input链路
iptables -P INPUT DROP
允许由服务器本身请求的数据通过
说明一下，这6句基本上都是要的。
首先写下这6句话：
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包出去
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
允许已经建立和相关的数据包进入
iptables -A INPUT -s localhost -d localhost -j ACCEPT
允许本地的数据包
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
允许本地数据包
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
允许icmp包出去
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
允许icmp包进入

---------------

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -s localhost -d localhost -j ACCEPT
iptables -A OUTPUT -p icmp --icmp any -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT

--------------

/etc/sysconfig/iptables

#限制与18286端口连接的IP最大连接数为30

命令: iptables -t nat -A OUTPUT -p tcp -d 192.168.1.103 --dport 3306 -j DNAT --to 10.19.160.167:3306

iptables内参数：-A INPUT -p tcp -m tcp --dport 18242 -m connlimit --connlimit-above 30 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable

#允许指定IP访问特定端口

命令： iptables -I INPUT -s 219.137.37.186/32 -p tcp --dport 22 -j ACCEPT
iptables内参数: -A INPUT -s 219.137.37.186/32 -p tcp -m tcp --dport 22 -j ACCEPT

#开放特定端口:

命令: iptables -I INPUT -p tcp --dport 80 -j ACCEPT

iptables内参数:
-A INPUT -p tcp -m tcp --dport 19009 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 19009 -j ACCEPT

gps无法访问----
# -A INPUT -j REJECT --reject-with icmp-host-prohibited
# -A FORWARD -j REJECT --reject-with icmp-host-prohibited

--------

CentOS 7  firewalld 取代 iptables

查看防火墙状态: systemctl status firewalld 或 service firewalld status

关闭:

systemctl stop firewalld.service

systemctl disable firewalld.service