服务器安全-centos7 防火墙端口设置
# 开启和关闭防火墙
systemctl start firewalld # 启动防火墙
systemctl status firewalld # 查看防火墙状态
systemctl stop firewalld # 关闭防火墙
systemctl disable firewalld # 开启不启动防火墙
systemctl enable firewalld # 开机启动防火墙
centos7 防火墙添加端口:【单个】
firewall-cmd --zone=public --add-port=443/tcp --permanent
centos7 防火墙添加端口:【范围】
firewall-cmd --zone=public --add-port=20000-30000/tcp --permanent
【重新载入】
firewall-cmd --reload
【查看】
firewall-cmd --zone=public --list-ports
【删除】
firewall-cmd --zone=public --remove-port=80/tcp --permanent
CentOS切换为iptables防火墙
切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。
1、关闭firewall:
service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动
# 不行的话换下面的
systemctl stop firewalld
systemctl mask firewalld
2、安装iptables防火墙
yum install iptables-services #安装
3、编辑iptables防火墙配置
vi /etc/sysconfig/iptables
下边是一个完整的配置文件:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6379 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8022 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8024 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8082 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8192 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 18080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000:20000 -j ACCEPT
# 防止syn攻击
-A FORWARD -p tcp --syn -m limit --limit 1/s -jACCEPT
-A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -jACCEPT
# 防止各种端口扫描
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping洪水攻击(Ping of Death)
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# 禁止udp服务
-A INPUT -s 8.8.8.8 -p UDP --sport=53 -j ACCEPT
-A INPUT -s 8.8.4.4 -p UDP --sport=53 -j ACCEPT
-A INPUT -p UDP -j DROP
#-A OUTPUT -p UDP -d 8.8.8.8 --dport 53 -j ACCEPT
#-A OUTPUT -p UDP -d 8.8.4.4 --dport 53 -j ACCEPT
#-A OUTPUT -p UDP -j DROP
# 指定IP访问本机端口
-I INPUT -p tcp --dport 3306 -j DROP
-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT
-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT
# 禁止ip访问
-I INPUT -s 120.227.17.174 -j DROP
service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动