CentOS7配置iptables防火墙

CentOS 7中默认是firewalld防火墙，如果使用iptables需要先关闭firewalld防火墙（1.关闭防火墙，2.取消开机启动）。

#关闭firewalld
systemctl stop firewalld
#取消开机启动
systemctl disable firewalld
#查看状态
firewall-cmd --state

安装启用iptables

#先检查是否安装了iptables
service iptables status
#安装iptables
yum install -y iptables
#安装iptables-services
yum -y install iptables-services
#注册iptables服务，相当于以前的chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service

设置iptables规则

查看iptables现有规则：iptables -L -n

添加开放80端口：iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT（好像这种方式重启以后就失效了）

编辑配置文件方式添加端口：

文件位置：/etc/sysconfig/iptables

执行vi /etc/sysconfig/iptables

添加一条规则开放80端口：-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

重启生效：service restart iptables

关闭iptables

systemctl stop iptables

其他规则：

#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP