CentOS 7 iptables 使用

CentOS 7 默认使用firwall，然而很多人使用iptables习惯，我也是。在这里简单讲下CentOS 7 启用iptables。

1、禁用 firwall

#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl mask firewalld

2、安装iptables、iptables-server

#先检查是否安装了iptables
rpm -qa |grep iptables
#安装iptables  iptables-services
yum install -y iptables iptables-services
#升级iptables
yum update iptables 

3、可以正常使用iptables了

#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP

4、保存iptables规则

service iptables save

5、其他规则设定

#如果要添加内网ip信任（接受其所有TCP请求）  
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT  
#过滤所有非以上规则的请求  
iptables -P INPUT DROP  
#要封停一个IP，使用下面这条命令：  
iptables -I INPUT -s ***.***.***.*** -j DROP  
#要解封一个IP，使用下面这条命令:  
iptables -D INPUT -s ***.***.***.*** -j DROP
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#iptables 创建链
iptables -N ceshi
#给新建的链创建规则
iptables  -I  ceshi  -p tcp --dport 80 -j ACCEPT
#让新链生效
iptables  -A  INPUT -j  ceshi   (所有流经INPUT的链的都走ceshi，然后再流入INPUT做匹配)
#删除新链中的规则  
iptables --line-numbers -L
iptables -D ceshi 1（想删除第几条就写第几条的序号）
#删除新建的链
iptables -X ceshi

6、开机启动iptables

#注册iptables服务  
#相当于以前的chkconfig iptables on  
systemctl enable iptables.service  
#开启服务  
systemctl start iptables.service  
#查看状态  
systemctl status iptables.service  

7、解决vsftp在开启iptables无法使用被动模式的问题

1.首先在/etc/sysconfig/iptables-config中修改或者添加以下内容
#添加以下内容,注意顺序不能调换  
IPTABLES_MODULES="ip_conntrack_ftp"  
IPTABLES_MODULES="ip_nat_ftp

2.重新设置iptables设置
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT