centos 防火墙加入域 centos防火墙规则

一、简述

  Centos7.3标准版自带的是firewall防火墙，已经不再是iptables了，如果需要使用iptables防火墙需要先禁用firewall，然后再安装iptables。

 Centos7.3 mini版默认防火墙无论是firewall还是iptables都没有安装，如果需要使用防火墙，需要自己选择安装iptables或者firewall。

二、Centos 7.3 mini版安装iptables

#检查是否安装了iptables  

service iptables status  

#安装iptables  

yum install -y iptables  

#升级iptables  

yum update iptables   

#安装iptables-services  

yum install iptables-services  

三、防火墙iptables规则设置

1、查看规则集

    iptables --list -n // 加一个-n以数字形式显示IP和端口，看起来更舒服

2、配置默认规则

    iptables -P INPUT DROP  // 不允许进
    iptables -P FORWARD DROP  // 不允许转发
    iptables -P OUTPUT ACCEPT  // 允许出

3、增加规则

    iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
    //允许源IP地址为192.168.0.0/24网段的包流进（包括所有的协议，这里也可以指定单个IP）
    iptables -A INPUT -d 192.168.0.22 -j ACCEPT
    //允许所有的IP到192.168.0.22的访问
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
    //开放本机80端口
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    //开放本机的ICMP协议

4、删除规则

    iptables -D INPUT -s 192.168.0.21 -j ACCEPT
    //删除刚才建立的第一条规则

5、规则的保存

    iptables -F
    //清空规则缓冲区（这个操作会将上面的增加操作全部清空，若须保留建议先执行以下语句：保存）
    service iptables save
    //将规则保存在/etc/sysconfig/iptables文件里
    service iptables restart
    //重启Iptables服务

iptables防火墙的配置文件存放于：/etc/sysconfig/iptables 

四、IPtables防火墙设置规则例子

1、禁止别人ping自己，允许自己ping别人：

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

service iptables save

2、允许源为10.0.2.8机器访问本机器的9999端口，其他机器全部禁止访问本机的TCP 9999端口。

iptables -A INPUT -p tcp -s 10.0.2.8 --dport 9999 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 9999 -j DROP

service iptables save

本文转自 老鹰a  51CTO博客，原文链接:http://blog.51cto.com/laoyinga/1892190