iptables策略
iptables -L #查看现有防火墙所有策略
iptables -F #清除现有防火墙策略
只允许特定流量通过,禁用其他流量
1.允许SSH流量(重要)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #-A追加的意思;--dport目标端口的意思
2.允许DNS流量(重要)
iptables -I INPUT 1 -p tcp --sport 53 -j ACCEPT
iptables -I INPUT 1 -p udp --sport 53 -j ACCEPT #-I插入的意思;--sport源目标端口的意思
3.允许业务流量
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
4.禁用其他所有流量
iptables -A INPUT -j DROP
5.禁用某个访问异常多的ip
[weblogic@host-192-168-149-56 ~]$ netstat -tn|grep "192.168.149.56"|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -rn
26 10.212.132.123
1 10.204.130.158 #首先检查出服务器上各个ip的连接次数;其中netstat -tn命令的-t是检测所有连接的tcp,-n是检测到的不进行域名解析
iptables -I INPUT 1 -s 10.212.132.123 -j DROP #把这个ip地址禁用掉
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
1,iptables保存路径:iptables配置:vim /etc/sysconfig/iptables
2,关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
centos 7防火墙策略配置:
# 查询端口是否开放 firewall-cmd --query-port=8080/tcp # 开放80端口 firewall-cmd --permanent --add-port=80/tcp # 移除端口 firewall-cmd --permanent --remove-port=8080/tcp
#重启防火墙(修改配置后要重启防火墙) firewall-cmd --reload
# 参数解释 1、firwall-cmd:是Linux提供的操作firewall的一个工具; 2、--permanent:表示设置为持久; 3、--add-port:标识添加的端口;
二、查看防火墙规则 firewall-cmd --list-all
三、查看firewall的状态 firewall-cmd --state