Centos7.x 防火墙文档(iptables/firewalld)

Firewalld部分

systemctl status firewalld.service
systemctl start firewalld.service
systemctl stop firewalld.service
systemctl disable firewalld.service
firewall-cmd --state

iptables部分

安装 iptables 服务

yum install iptables-services

启动、关闭、查看状态

systemctl status iptables.service
systemctl stop iptables.service
systemctl enable iptables.service
systemctl disable iptables.service

清空配置

cd /etc/sysconfig
mv /etc/sysconfig/iptables  /etc/sysconfig/iptables.bak
mv /etc/sysconfig/iptables-config /etc/sysconfig/iptables-config.bak
touch /etc/sysconfig/iptables
touch /etc/sysconfig/iptables-config

iptables 常用命令

#带行号查看当前所有规则 
iptables -L -n --line-numbers
#清除所有规则
iptables -F
#删除指定行号(以下命令中的“5”为指定行号)规则
iptables -D 5
#保存当前配置;相当于旧版/etc/init.d/iptables save
service iptables save
#重启iptables;相当于旧版本/etc/init.d/iptables restart
service iptables restart
#注册iptables服务;相当于旧版 chkconfig iptables on
systemctl enable iptables.service
#开启服务
systemctl start iptables.service
#查看状态
systemctl status iptables.service

iptables PPTP相关命令

  • 允许连接PPTP服务,1723为pptp服务端口
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
  • iptables 配置Nat转发
#这里一定看清楚,里面的ip“192.168.1.0/24”要和 /etc/pptpd.conf 的“localip”配置网段对应,还要注意网卡eth0,如果你的网卡不是eth0,就改成你相应的网卡名
#OpenVZ系统用此命令,1.1.1.1为你的VPS的IP地址
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.1.1.1
#XEN系统用这个命令
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
  • 如果某些网站不能访问,加上下面的命令
    iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356

  • 或者在命令提示符运行
    /sbin/iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356

  • 以上 PPTP 防火墙一键脚本

#!/bin/sh
#允许连接PPTP服务
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
#允许建立VPN隧道以验证用户名密码
iptables -I INPUT -p gre -j ACCEPT
#建立NAT转换规则
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#允许pptpd转发
iptables -I FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#优化网络数据传输速度
iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356
echo "完成"
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址