centos iptables 恢复，iptables重启命令

很多朋友对于centos iptables 恢复和iptables重启命令不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

iptables保存后生效,过几天就失效了

iptables的配置文件保存在/etc/sysconfig/iptables-config下，书写了iptables规则以后如果需要保存规则，则可以使用命令：iptables-save，使用此命令保存的规则位置可以是任意的，此时保存的规则在重启机器后无法自动生效，需要使用命令iptables-restore恢复，或者写入开机启动脚本/etc/rc.d/rc.local里面。

以下为教材里使用的命令：

保存规则：#iptables-save>/etc/iptables-script

恢复规则：#iptables-restore>/etc/iptables-script

保存和恢复的位置只要是两者一致就可以了，如果iptables-script没有则需要创建。

若想开机自动启用脚本，则可以使用以下命令放到系统初始化Shell脚本/etc/rc.d/rc.local中

#echo'/sbin/iptables-restore/etc/iptables-script'>>/etc/rc.d/rc.local

但近日查看一些资料，发现规则保存的位置在/etc/sysconfig/iptables下，所以一些资料就有了

保存规则：#iptables-save>/etc/sysconfig/iptables

恢复规则：#iptables-restore>/etc/sysconfig/iptables

若想开机自动启用脚本，则可以使用以下命令放到系统初始化Shell脚本/etc/rc.d/rc.local中

#echo'/sbin/iptables-restore/etc/sysconfig/iptables'>>/etc/rc.d/rc.local

此外还有一命令保存规则#service iptables save，如下图：

规则自动保存到了/etc/sysconfig/iptables，用此命令保存的规则开机会自动生效，所以为了统一期间，建议以后规则的保存都保存在/etc/sysconfig/iptables下。

Centos7 开启 iptables 日志

Netfilter/Iptables（简称Iptables）是Unix/Linux系统自带的优秀且完全免费的基于包过滤的防火墙工具，其功能强大，使用灵活，能够对流入、流出及流经服务器的数据包进行精细控制。

在实际生产环境中，有时可能需要对特定数据包进行过滤。然而，在复杂的网络环境中，可能出现收不到正常的数据报文的情况。这时，查看数据报文是否被Iptables过滤导致无法接收就显得尤为重要。

下面介绍如何开启Iptables日志，以进行数据报文情况的查看：

首先，在rsyslog.conf中添加配置：

# vim/etc/rsyslog.conf

在文件中添加以下行：

kern.*/var/log/iptables.log

随后重启日志配置：

# systemctl restart rsyslog.service

接着，若需让日志滚动，可在配置文件中添加如下行：

# vim/etc/logrotate.d/syslog

添加以下行：

/var/log/iptables

在Iptables配置中添加日志选项，以测试配置是否生效：

# iptables-A INPUT-j LOG--log-prefix"iptables"

检查日志文件是否生成：

# tailf/var/log/iptables.log

完成测试后，删除测试链：

# iptables-D INPUT-j LOG--log-prefix"iptables"

清空Iptables日志文件：

# echo"">/var/log/iptables.log

此方法能够帮助用户追踪数据包过滤情况，提高网络管理效率。

centos7 iptables

在 CentOS7系统中，firewalld和 iptables是两种常见的网络防火墙解决方案。虽然两者都提供了类似的功能，但在使用场景和配置方式上存在显著差异。

iptables默认规则相对开放，而 firewalld默认规则相对封闭。因此，推荐使用 iptables进行更细致的网络控制。

iptables的规则在/etc/sysconfig/iptables中存储，而 firewalld的配置则储存在/usr/lib/firewalld/和/etc/firewalld/中的 XML文件中。iptables在更改规则时，会清除所有旧规则并读取新规则，而 firewalld则不会创建新规则，仅运行不同规则，使其在运行时改变设置而不丢失当前配置。

在使用 firewalld时，可以通过以下命令查看和管理防火墙规则：

bash

firewall-cmd--list-all

firewall-cmd--list-services

firewall-cmd--list-port

firewall-cmd--reload

firewall-cmd--add-port=8080/tcp--permanent

firewall-cmd--add-service=http--permanent

firewall-cmd--remove-port=8080/tcp--permanent

firewall-cmd--remove-service=http--permanent

firewall-cmd--add-forward-port=port=80:proto=tcp:toport=8080--permanent

firewall-cmd--zone=public--add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.217.128--permanent

为了使用 iptables，需先关闭 firewalld并安装 iptables：

bash

systemctl stop firewalld.service

systemctl disable firewalld.service

yum-y install iptables-services

systemctl restart iptables.service

在 iptables中配置规则的常用命令有：

bash

iptables-L-n

iptables-F

iptables-X

可以使用以下方式在 iptables中修改防火墙规则：

修改/etc/sysconfig/iptables文件（重启 iptables使更改生效）。

直接使用命令（需要使用 `save`命令使配置生效）。

例如，直接添加一条开放 8080端口的规则：

bash

iptables-I INPUT-p tcp-m state--state NEW-m tcp--dport 8080-j ACCEPT

service iptables save

遇到的问题是，使用 `iptables-A`添加规则时，虽然规则被写入配置文件，但无法访问。后来发现使用 `iptables-I`添加配置可以解决问题。原因是 `-A`添加在规则列表末尾，而 `-I`添加在第一条，因此优先级不同。

在 iptables中，可以使用以下规则进行更细粒度的控制：

同时开放多个端口：`iptables-I INPUT-p tcp-m multiport--dport 22,80-j ACCEPT`。

开放连续端口范围：`iptables-I INPUT-p tcp--dport 5000:6000-j ACCEPT`。

允许特定网段访问：`iptables-I INPUT-p all-s 0.0.0.0/0-j ACCEPT`。

允许特定 IP的特定端口访问：`iptables-I INPUT-p tcp-s 0.0.0.0-dport 8080-j ACCEPT`。

禁止特定主机访问：`iptables-I INPUT-p tcp-s 0.0.0.0-j DROP`。

移除规则：`iptables-D INPUT 7`。

在 iptables配置中，放行使用 `ACCEPT`，禁止使用 `DROP`。