vlambda博客
学习文章列表

服务器安全-centos7 防火墙端口设置

# 开启和关闭防火墙

 

systemctl start firewalld      # 启动防火墙

systemctl status firewalld     # 查看防火墙状态

systemctl stop firewalld       # 关闭防火墙

 

systemctl disable firewalld    # 开启不启动防火墙

systemctl enable firewalld     # 开机启动防火墙

centos7 防火墙添加端口:【单个】

firewall-cmd --zone=public --add-port=443/tcp --permanent

centos7 防火墙添加端口:【范围】

firewall-cmd --zone=public --add-port=20000-30000/tcp --permanent

【重新载入】

firewall-cmd --reload

【查看】

firewall-cmd --zone=public --list-ports

【删除】

firewall-cmd --zone=public --remove-port=80/tcp --permanent

CentOS切换为iptables防火墙

切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。


1、关闭firewall:


service firewalld stop

systemctl disable firewalld.service #禁止firewall开机启动

 

# 不行的话换下面的

systemctl stop firewalld

systemctl mask firewalld

2、安装iptables防火墙


yum install iptables-services #安装

3、编辑iptables防火墙配置


vi /etc/sysconfig/iptables

下边是一个完整的配置文件:


-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 6379 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8022 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8024 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8082 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8192 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 18080 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000:20000 -j ACCEPT

 

 

# 防止syn攻击

-A FORWARD -p tcp --syn -m limit --limit 1/s -jACCEPT

-A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -jACCEPT

# 防止各种端口扫描

-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ping洪水攻击(Ping of Death)

-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# 禁止udp服务

-A INPUT -s 8.8.8.8 -p UDP --sport=53 -j ACCEPT

-A INPUT -s 8.8.4.4 -p UDP --sport=53 -j ACCEPT

-A INPUT -p UDP -j DROP

#-A OUTPUT -p UDP -d 8.8.8.8 --dport 53 -j ACCEPT

#-A OUTPUT -p UDP -d 8.8.4.4 --dport 53 -j ACCEPT

#-A OUTPUT -p UDP -j DROP

 

# 指定IP访问本机端口

-I INPUT -p tcp --dport 3306 -j DROP

-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT

-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT

 

# 禁止ip访问

-I INPUT -s 120.227.17.174 -j DROP

service iptables start #开启

systemctl enable iptables.service #设置防火墙开机启动