关键词:
1. 清除当前iptables规则
iptables -F iptables -Z iptables -X
2. 定义规则
iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -A INPUT -p tcp --dport 22-j ACCEPT iptables -A INPUT -p tcp -s10.0.0.0/24 -j ACCEPT iptables -P INPUT DROP
查看当前定义的规则
[[email protected] ~]# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 10.0.0.0/24 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
3. 继续定义规则,可以匹配通过的
iptables -A INPUT -i lo -j ACCEPT #<== 允许自己的IO网卡可以通过 iptables -A INPUT -s 201.82.34.0/24 -p all -jACCEPT #<== 201.82.34.0该网段可以通过 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #<== 80端口可以通过 iptables -A INPUT -p tcp --dport 443 -j ACCEPT #<== 443端口可以通过 iptables -A INPUT -p icmp -m icmp --icmp-type any-j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED-j ACCEPT #<== 允许关联的状态包
匹配完后查看
[[email protected] ~]# iptables -L -n Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 10.0.0.0/24 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 201.82.34.0/24 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
4. 将定义好的规则载入配置文件(三种方法,任选一种)
第一种:
[[email protected] ~]# /etc/init.d/iptables save iptables:将防火墙规则保存到/etc/sysconfig/iptables: [确定]
第二种:
[[email protected] ~]# iptables-save >/etc/sysconfig/iptables
第三种: <--- 建议在业务量小的时候可以重启
[[email protected] ~]# /etc/init.d/iptables restart iptables:将链设置为政策 ACCEPT:natfilter [确定] iptables:清除防火墙规则: [确定] iptables:正在卸载模块: [确定] iptables:应用防火墙规则: [确定]
# 以上方法任选一种载入后查看
[[email protected] ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Sun Sep 2512:49:48 2016 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [2:120] :OUTPUT ACCEPT [2:120] COMMIT # Completed on Sun Sep 25 12:49:48 2016 # Generated by iptables-save v1.4.7 on Sun Sep 2512:49:48 2016 *filter :INPUT DROP [8675:381885] :FORWARD ACCEPT [10:440] :OUTPUT ACCEPT [900:59778] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 201.82.34.0/24 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -jACCEPT COMMIT # Completed on Sun Sep 25 12:49:48 2016
本文出自 “土豆” 博客,请务必保留此出处http://zhaoyulin.blog.51cto.com/11665101/1856440
企业防火墙之iptables(代码片段)
...况有外网ip,可以开启防火墙服务.大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全1.1.1 生产中iptables的实际应用主要应用方向1、主机防火墙(filter表的INPUT链)。2、局域网共享上网(nat表的POSTROUTING链)。... 查看详情
iptables系列教程|iptables入门篇(代码片段)
前言在早期的Linux系统中,默认使用的是iptables配置防火墙。尽管新型的firewalld防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。考虑到iptables在当前生产环境中还具有顽强的生命力... 查看详情
(转)企业配置sudo命令用户行为日志审计
...830.html?utm_source=itdadao&utm_medium=referral第15章企业配置sudo命令用户行为日志审计15.1生产环境企业日志审计解决方案:所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或录像... 查看详情
企业生产环境nfs客户端挂载建议
企业生产环境NFS客户端挂载建议:一、把NFSrpc服务的启动命令和挂载命令均放到/etc/rc.local,然后通过nagios监控软件监控开机后的挂载情况。如:[[email protected] ~]# cat /etc/rc.local#!/bin/sh## Thisscript will be ... 查看详情
企业防火墙-iptables策略
...况有外网ip,可以开启防火墙服务.大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全1.1.1 生产中iptables的实际应用主要应用方向1、主机防火墙(filter表的INPUT链)。2、局域网共享上网(nat表的POSTROU 查看详情
生产环境下的配置和使用
2.1:RocketMQ各部分角色介绍:四个角色:Producer、Consumer、Broker和NameServer。如果一个Topic要发送和接收的数据量非常大,需要能支持增加并行处理的机器来提高处理速度,这时候一个Topic可以根据需求设置一个或多个MessageQueue。Topi... 查看详情
centos7.3下的一个iptables配置
centos7.3默认使用的防火墙应该是firewall,而不是iptables。而我们如果想要再服务器上使用iptables防火墙,在配置防火墙之前,我们需要先关闭firewall,安装iptables。当前环境:[[email protected] ~]# cat /etc/redhat-release Ce... 查看详情
手动搭建vue+node单页面(代码片段)
这里提供手动搭建vue单页面开发生产环境,并使用node写后台代码,仅供小白参考;代码虽然没多少,但牵扯的知识很多,需要逐个研究;后续内容《手动搭建vue+node单页面(二)》https://segmentfault.com/a/11...项目地址:https://github.c... 查看详情
47-docker-dockerfile镜像创建自动化生产案例
基于容器手动制作镜像步骤具体如下:下载一个系统的官方基础镜像,如:CentOS或Ubuntu基于基础镜像启动一个容器,并进入到容器在容器里面做配置操作安装基础命令配置运行环境安装服务和配置服务放业务程序代码提交为一个新镜... 查看详情
path和classpath环境变量
...,即在命令行下,用户可以在任意路径下输入bin下的命令执行。PATH的作用:让操作系统能找到我们使用的命令,PATH环境变量与java无关。任何软件的可执行文件路径都可以配置在PATH下,然后通过命令行来执行。 CLASSPATH:告... 查看详情
企业防火墙之iptables(代码片段)
...况有外网ip,可以开启防火墙服务.大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全1.1.1 生产中iptables的实际应用主要应用方向1、主机防火墙(filter表的INPUT链)。2、局域网共享上网(nat表的P 查看详情
iptables系列教程|iptables入门篇(代码片段)
前言在早期的Linux系统中,默认使用的是iptables配置防火墙。尽管新型的firewalld防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。考虑到iptables在当前生产环境中还具有顽强的生命力... 查看详情
在生产环境中执行 liquibase 更新
】在生产环境中执行liquibase更新【英文标题】:Executeliquibaseupdateinproductionenvironment【发布时间】:2013-11-2901:03:00【问题描述】:我有一个JavaMaven项目。我正在使用liquibase来更新数据库。在本地,要更新我的数据库,我只是在命令... 查看详情
mysql:5生产环境下的数据库机器配置
1.数据库规划对于数据库,我们该做到如下的了解和熟悉。熟悉数据库的整体架构原理,以及如何规划生产环境下的数据库,包括当你有一个生产库之后,要做的事情就是涉及压测方案,包括对你的数据库进行... 查看详情
企业中的软件开发——开发环境测试环境镜像环境与生产环境的区别
开发环境:开发环境是程序员们专门用于开发的服务器,配置可以比较随意,为了开发调试方便,一般打开全部的错误报告和测试工具,是最基础的环境。开发环境的分支,一般是feature分支。测试环境:一般是克隆一份生产环... 查看详情
怎么手动添加anaconda3到环境变量中
参考技术A手动添加anaconda3到环境变量中的方法是:1、右键点击【计算机】,选择【属性】;2、依次点击【高级系统设置】、【环境变量】;3、将anaconda目录下的Scripts文件夹添加到环境变量中即可。具体方法:(推荐教程:Pytho... 查看详情
redis生产环境的安装配置(代码片段)
Redis生产环境的安装配置机器环境CentOs6.5Redis4.0.9(2018/4/10最新版本)安装Redis首先去到/usr/local/目录,redis是安装在这个目录下面:执行如下命令$wgethttp://download.redis.io/releases/redis-4.0.9.tar.gz$tarxzfredis-4.0 查看详情
如何配置linux下的防火墙?
...需要在Linux系统中查找并打开文件以编辑和配置防火墙,执行命令:vi/etc/sysconfig/iptables。2、然后将以下语句添加到上面打开的文件中:-AINPUT-mstate-stateNEW-m 查看详情