第一步:禁用firewall
systemctl stop firewalld
systemctl mask firewalld
第二步:安装iptable和iptable-service
yum install -y iptables iptables-services
第三步:启动并设置开机自启
systemctl start iptables.service
systemctl enable iptables.service
第四步:编辑配置文件,加固系统安全策略
vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [1:40]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:280]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#允许单个目的端口的方法
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#限制源ip和允许单个目的端口的方法
-A INPUT -s 8.8.8.8/29 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#限制源ip和允许多个目的端口的方法
-A INPUT -s 8.8.8.8/16 -p tcp -m multiport --dport 21,3306,8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT参数说明
-p tcp: 表示使用 TCP协议
-m state NEW:有四种状态自己百度(NEW,RELATED,ESTABLISHED,INVALID)
-m tcp:表示使用TCP模块的扩展功能(比如–dport等)
-m multiport:多端口支持
第五步:重启iptable,查看状态
service iptables restart
iptables -L- n
Leave a reply