第一步:禁用firewall

systemctl stop firewalld 
systemctl mask firewalld

第二步:安装iptable和iptable-service

yum install -y iptables iptables-services

第三步:启动并设置开机自启

systemctl start iptables.service
systemctl enable iptables.service

第四步:编辑配置文件,加固系统安全策略

vi /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [1:40]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:280]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

#允许单个目的端口的方法
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

#限制源ip和允许单个目的端口的方法
-A INPUT -s 8.8.8.8/29  -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

#限制源ip和允许多个目的端口的方法
-A INPUT -s 8.8.8.8/16  -p tcp -m multiport --dport 21,3306,8080 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

参数说明

-p tcp: 表示使用 TCP协议
-m state NEW:有四种状态自己百度(NEW,RELATED,ESTABLISHED,INVALID)
-m tcp:表示使用TCP模块的扩展功能(比如–dport等)
-m multiport:多端口支持

第五步:重启iptable,查看状态

service iptables restart
iptables -L- n

https://zhuanlan.zhihu.com/p/266481108