Linux防火墙操作

一、防火墙的操作

• 设置开机启用防火墙：systemctl enable firewalld.service

• 设置开机禁用防火墙：systemctl disable firewalld.service

• 启动防火墙：systemctl start firewalld

• 关闭防火墙：systemctl stop firewalld

• 查看防火墙状态：systemctl status firewalld

• 重启防火墙：systemctl restart firewalld

二、使用firewall-cmd配置端口

添加端口后，必须用命令firewall-cmd --reload重新加载一遍才会生效

• 查看防火墙状态：firewall-cmd --state

• 重新加载配置：firewall-cmd --reload

• 查看开放的端口：firewall-cmd --list-ports

• 开启防火墙端口：firewall-cmd --zone=public --add-port=9200/tcp --permanent

  • 命令含义：
    • zone #作用域
    • add-port=9200/tcp #添加端口，格式为：端口/通讯协议
    • permanent #永久生效，没有此参数重启后失效

• 关闭防火墙端口：firewall-cmd --zone=public --remove-port=9200/tcp --permanent

三、设置白名单

第一步：查看白名单列表

iptables -nvL --line-number

第二步：添加白名单

iptables -I INPUT 3 -s 136.6.231.163 -p tcp --dport 1521 -j ACCEPT

对以上命令参数详解

• -I

  • INPUT：进来的数据包应用此规则链中的策略

  • OUTPUT：外出的数据包应用此规则链中的策略

  • FORWARD：转发数据包时应用此规则链中的策略

  • PREROUTING：对数据包作路由选择前应用此链中的规则　（记住！所有的数据包进来的时侯都先由这个链处理）

  • POSTROUTING：对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

• 3：表示添加到第三行（可以任意修改）

• -s：指定作为源地址匹配，这里不能指定主机名称，必须是IP

• -p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

• --dport：用于匹配端口号

• -j: 用于匹配处理方式

  • DROP：悄悄丢弃，一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

  • REJECT：明示拒绝

  • ACCEPT：接受

第三步：重启防火墙即可生效

service iptables restart