Centos7 iptables防火墙配置实例笔记

iptables服务的基础指令

-- 启动服务 
# service iptables start

-- 停止服务
# service iptables stop

-- 重启服务
# service iptables restart

-- 保存设置
# service iptables save

iptables 常用命令以及参数选项介绍

iptables -A 将一个规则添加到链末尾

iptables -D 将指定的链中删除规则

iptables -F 将指定的链中删除所有规则

iptables -I 将在指定链的指定编号位置插入一个规则

iptables -L 列出指定链中所有规则

iptables -t nat -L 列出所有NAT链中所有规则

iptables -N 建立用户定义链

iptables -X 删除用户定义链

iptables -P 修改链的默认设置，如将iptables -P INPUT DROP (将INPUT链设置为DROP)

--dport 指定目标TCP/IP端口 如 –dport 80

--sport 指定源TCP/IP端口 如 –sport 80

-p tcp 指定协议为tcp

-p icmp 指定协议为ICMP

-p udp 指定协议为UDP

-j DROP 拒绝

-j ACCEPT 允许

-j REJECT 拒绝并向发出消息的计算机发一个消息

-j LOG 在/var/log/messages中登记分组匹配的记录

-m mac –mac 绑定MAC地址

-m limit –limit 1/s 1/m 设置时间策列

-s 10.10.0.0或10.10.0.0/16 指定源地址或地址段

-d 10.10.0.0或10.10.0.0/16 指定目标地址或地址段

-s ! 10.10.0.0 指定源地址以外的（！可以实现取反）

配置实例

 

借助iptables防ping


配置前先实验虚拟机网关ip地址是否能ping通

首先先查看INPUT链路中的防火墙规则
//注意链路名称INPUT一定要是大写
#iptables -L INPUT

 

 显示INPUT链路中规则为空

 接着新建防PING的规则

//-p 设置协议 -s 设置来源ip 0/0表示任何ip -j DROP表示丢弃从任何ip发过来的数据包

 #iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

 查看INPUT链路规则表确认规则添加成功

 

 然后保存配置

 

 重启iptables服务

 

 大功告成，进行验证。

 

删除规则

iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP