centos修改iptables(centos7)
大家好,今天小编来为大家解答以下的问题,关于centos修改iptables,centos7这个很多人还不知道,现在让我们一起来看看吧!
在CentOS的防火墙上开启通行端口的方法
如果希望在服务器上提供服务,诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙,它们默认的防火墙规则十分严格。因此,如果你安装了任何定制的服务(比如web服务器、NFS和Samba),那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过。
在CentOS/RHEL 6或更早的版本上,iptables服务允许用户与netfilter内核模块交互来在用户空间中配置防火墙规则。然而,从CentOS/RHEL 7开始,一个叫做firewalld新用户空间接口被引入以取代iptables服务。
使用这个命令察看当前的防火墙规则:
代码如下:
$ sudo iptables-L
现在,让我们看看如何在CentOS/RHEL上修改防火墙来开启一个端口。
在CentOS/RHEL 7上开启端口
启动CentOS/RHEL 7后,防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。
使用这些命令来永久打开一个新端口(如TCP/80)。
代码如下:
$ sudo firewall-cmd--zone=public--add-port=80/tcp--permanent
$ sudo firewall-cmd--reload
如果不使用“--permanent”标记,把么防火墙规则在重启后会失效。
在CentOS/RHEL 6上开启端口
在CentOS/RHEL 6甚至更早版本系统上,iptables服务负责维护防火墙规则。
使用iptables的第一条命令可以通过防火墙开启一个新TCP/UDP端口。为了永久保存修改过的规则,还需要第二条命令。
代码如下:
$ sudo iptables-I INPUT-p tcp-m tcp--dport 80-j ACCEPT
$ sudo service iptables save
另一种方法是通过一个名为system-config-firewall-tui的命令行用户接口(TUI)的防火墙客户端。
代码如下:
$ sudo system-config-firewall-tui
选择位于中间的“Customize”按钮,按下ENTER键即可。
如果想要为任何已知的服务(如web服务器)修改防火墙,只需勾选该服务,然后关闭工具。如果想要开启任意一个TCP/UDP端口,选择“Forward”按钮,然后进入下一个界面。
选择“Add”按钮添加一条新规则。
指定一个端口(如80)或者端口范围(如3000-3030)和协议(如tcp或udp)。
最后,保存修改过的配置,关闭工具。这样,防火墙就永久保存了。
centos7 iptables
在 CentOS7系统中,firewalld和 iptables是两种常见的网络防火墙解决方案。虽然两者都提供了类似的功能,但在使用场景和配置方式上存在显著差异。
iptables默认规则相对开放,而 firewalld默认规则相对封闭。因此,推荐使用 iptables进行更细致的网络控制。
iptables的规则在/etc/sysconfig/iptables中存储,而 firewalld的配置则储存在/usr/lib/firewalld/和/etc/firewalld/中的 XML文件中。iptables在更改规则时,会清除所有旧规则并读取新规则,而 firewalld则不会创建新规则,仅运行不同规则,使其在运行时改变设置而不丢失当前配置。
在使用 firewalld时,可以通过以下命令查看和管理防火墙规则:
bash
firewall-cmd--list-all
firewall-cmd--list-services
firewall-cmd--list-port
firewall-cmd--reload
firewall-cmd--add-port=8080/tcp--permanent
firewall-cmd--add-service=http--permanent
firewall-cmd--remove-port=8080/tcp--permanent
firewall-cmd--remove-service=http--permanent
firewall-cmd--add-forward-port=port=80:proto=tcp:toport=8080--permanent
firewall-cmd--zone=public--add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.217.128--permanent
为了使用 iptables,需先关闭 firewalld并安装 iptables:
bash
systemctl stop firewalld.service
systemctl disable firewalld.service
yum-y install iptables-services
systemctl restart iptables.service
在 iptables中配置规则的常用命令有:
bash
iptables-L-n
iptables-F
iptables-X
可以使用以下方式在 iptables中修改防火墙规则:
修改/etc/sysconfig/iptables文件(重启 iptables使更改生效)。
直接使用命令(需要使用 `save`命令使配置生效)。
例如,直接添加一条开放 8080端口的规则:
bash
iptables-I INPUT-p tcp-m state--state NEW-m tcp--dport 8080-j ACCEPT
service iptables save
遇到的问题是,使用 `iptables-A`添加规则时,虽然规则被写入配置文件,但无法访问。后来发现使用 `iptables-I`添加配置可以解决问题。原因是 `-A`添加在规则列表末尾,而 `-I`添加在第一条,因此优先级不同。
在 iptables中,可以使用以下规则进行更细粒度的控制:
同时开放多个端口:`iptables-I INPUT-p tcp-m multiport--dport 22,80-j ACCEPT`。
开放连续端口范围:`iptables-I INPUT-p tcp--dport 5000:6000-j ACCEPT`。
允许特定网段访问:`iptables-I INPUT-p all-s 0.0.0.0/0-j ACCEPT`。
允许特定 IP的特定端口访问:`iptables-I INPUT-p tcp-s 0.0.0.0-dport 8080-j ACCEPT`。
禁止特定主机访问:`iptables-I INPUT-p tcp-s 0.0.0.0-j DROP`。
移除规则:`iptables-D INPUT 7`。
在 iptables配置中,放行使用 `ACCEPT`,禁止使用 `DROP`。
Centos7 开启 iptables 日志
Netfilter/Iptables(简称Iptables)是Unix/Linux系统自带的优秀且完全免费的基于包过滤的防火墙工具,其功能强大,使用灵活,能够对流入、流出及流经服务器的数据包进行精细控制。
在实际生产环境中,有时可能需要对特定数据包进行过滤。然而,在复杂的网络环境中,可能出现收不到正常的数据报文的情况。这时,查看数据报文是否被Iptables过滤导致无法接收就显得尤为重要。
下面介绍如何开启Iptables日志,以进行数据报文情况的查看:
首先,在rsyslog.conf中添加配置:
# vim/etc/rsyslog.conf
在文件中添加以下行:
kern.*/var/log/iptables.log
随后重启日志配置:
# systemctl restart rsyslog.service
接着,若需让日志滚动,可在配置文件中添加如下行:
# vim/etc/logrotate.d/syslog
添加以下行:
/var/log/iptables
在Iptables配置中添加日志选项,以测试配置是否生效:
# iptables-A INPUT-j LOG--log-prefix"iptables"
检查日志文件是否生成:
# tailf/var/log/iptables.log
完成测试后,删除测试链:
# iptables-D INPUT-j LOG--log-prefix"iptables"
清空Iptables日志文件:
# echo"">/var/log/iptables.log
此方法能够帮助用户追踪数据包过滤情况,提高网络管理效率。
