防火牆配置文件: /etc/sysconfig/iptables
1.使用命令查看端口開啟情況(下圖為安裝時未選擇開啟防火牆)
[root@fullstack ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
2.清除防火牆規則(已有規則可以不進行)
[root@fullstack ~]# iptables -F #清除預設表filter中的所有規則鏈的規則 [root@fullstack ~]# iptables -X #清除預設表filter中使用者自定鏈中的規則 [root@fullstack~]# /etc/rc.d/init.d/iptables save #保存以后下次重啟才會開啟
[root@fullstack ~]# service iptables restart #重啟一下防火牆
3.設置防火牆規則
//注:如果你是遠程SSH登陸的話,當你輸入第一個命令回車的時候就應該掉了.因為你沒有設置任何規則,可以先關閉防火牆再操作
//關閉防火牆 /etc/init.d/iptables stop 或者 service iptables stop
[root@fullstack ~]# iptables -p INPUT DROP
[root@fullstack ~]# iptables -p OUTPUT ACCEPT
[root@fullstack ~]# iptables -p FORWARD DROP
這樣定義是指明超出iptables的兩個鏈規則(INPUT和FORWARD)規則的所有請求被拋棄,超出OUTPUT規則的請求可以接受,即控制輸入,隨意輸出。
4.添加端口號
-A:指定鏈名 -A和-I。其中-A是添加到規則的末尾;-I可以插入到指定位置,沒有指定位置的話默認插入到規則的首部
-p:指定協議類型
-d:指定目標地址
--dport:指定目標端口(destination port 目的端口)
--sport:指定源端口(source port 源端口)
–s 參數是來源(即192.168.1.2)
-j:指定動作類型
[root@fullstack ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT [root@fullstack ~]# iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
[root@fullstack ~]# /etc/rc.d/init.d/iptables save
[root@fullstack ~]# service iptables restart #重啟一下防火牆
這樣就給INPUT和OUTPUT添加了80端口的tcp連接,最后別忘了保存一下
5、刪除端口號
[root@singledb ~]# iptables -D INPUT -p tcp --dport 443 -j ACCEPT [root@singledb ~]# iptables -D OUTPUT -p tcp --dport 443 -j ACCEPT [root@singledb ~]# iptables -L -n
[root@fullstack ~]# /etc/rc.d/init.d/iptables save
[root@fullstack ~]# service iptables restart #重啟一下防火牆
相關防火牆信息可以查看 http://blog.sina.com.cn/s/blog_14d3162000102ww4y.html
防火牆命令手冊 http://man.linuxde.net/iptables