CentOS项目实例之九--防火墙端口配置

1. 防火墙配置

1.1. ZZSRV1

首先，需要对ZZSRV1的角色进行分析。它是主DNS、网站、DHCP服务器、时钟服务器。

我们决定不做出站限制，仅做入站限制，类似XP

查看当前配置

# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

将以下配置写入一个脚本文件，执行

# vi /root/myfw.sh

# Clear All

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -F

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 配置开放SSH的端口。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Allow ping

iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# 允许外部主机访问服务器上的web服务

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 允许外部对本机访问服务器上DNS服务

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

# 允许外部对本机访问服务器上NTP服务

iptables -A INPUT -p udp --dport 123 -j ACCEPT

# 允许外部对本机访问服务器上fTP服务 (active and passive)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

# DHCP服务器

iptables -A INPUT -p udp --sport 67:68 --dport 67:68 -j ACCEPT

# 默认规则

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

# chmod +x /root/myfw.sh

# /root/myfw.sh

# iptables -L -n

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 state ESTABLISHED

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:67:68 dpts:67:68

Chain FORWARD (policy DROP)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

扫描TCP端口

C:\>nmap -sS -T 5 192.168.188.11

Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-12 20:20 中国标准时间

Nmap scan report for www.bigcloud.local (192.168.188.11)

Host is up (0.00069s latency).

Not shown: 996 filtered ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

53/tcp open domain

80/tcp open http

MAC Address: 00:0C:29:A4:2E:39 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 7.06 seconds

扫描UDP端口

C:\>nmap -sU -T 5 192.168.188.11

Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-12 20:21 中国标准时间

Nmap scan report for www.bigcloud.local (192.168.188.11)

Host is up (0.0010s latency).

Not shown: 998 open|filtered ports

PORT STATE SERVICE

53/udp open domain

123/udp open ntp

MAC Address: 00:0C:29:A4:2E:39 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds

Tip: 做实验的时候，可以使用以下命令来清除所有配置，从头来做

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -F

RHEL 7(CetOS 7) 使用新的Firewalld来代替iptables。在本次实验中，采用的在启动时执行脚本来解决

# vi /etc/rc.local

在最后添加如下内容：

/root/myfw.sh

时间： 2024-10-10 06:07:03

CentOS项目实例之九--防火墙端口配置的相关文章

linux安装后 sshd配置以及防火墙端口配置

一 .root权限下 vi /etc/ssh/sshd_config 修改ssh配置 Port 8833 *注意修改后暂时不要重启生效,修改iptables防火墙端口号两者一直否则会导致端口号被拦截而无法远程登录*Protocol 2ServerKeyBits 1024SyslogFacility AUTHPRIVLogLevel INFOStrictModes yesMaxAuthTries 3#MaxSessions 10 RSAAuthentication noPubke

Centos 7: 打开Samba防火墙端口

firewall-cmd --permanent --add-port=137/tcp firewall-cmd --permanent --add-port=138/tcp firewall-cmd --permanent --add-port=139/tcp firewall-cmd --permanent --add-port=445/tcp firewall-cmd --permanent --add-port=901/tcp

centos 7 防火墙和端口配置

开启redis端口,修改防火墙配置文件 vi /etc/sysconfig/iptables 加入端口配置 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6379 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6379:7000 -j ACCEPT //开放6379到7000之间的端口 servi

centos下配置防火墙端口失败

问题:将规则添加到防火墙中,总是端口无法开启 (1)修改文件首先vim /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5001:5009 -j ACCEPT(允许5001到5009的端口通过防火墙) 接着执行/etc/init.d/iptables restart (重启防火墙使配置生效). 因将该句加在文件末尾,导致防火墙重启后端口仍然无法使用. (2)解决方法应该在默认的22端口这条

Centos 7 安装设置 IP地址,DNS,主机名,防火墙,端口 (实测+笔记)

环境: 系统硬件:vmware vsphere (CPU:2*4核,内存2G,双网卡) 系统版本:CentOS-7.0-1406-x86_64-DVD.iso 安装步骤: 1.虚拟系统安装 1.1 使用VMware 虚拟机,读入ISO进行安装.启动后进行安装界面 1.2 选择 Install CentOS7,进行语言选择 1.3 选择简体中文,进入信息摘要 1.4 点击"安装位置",选择系统需要安装到的硬盘,点击“完成”. 1.5 点击"网络和主机名",进行网络设置

Centos 7 安装设置 IP地址,DNS,主机名,防火墙,端口,SELinux (实测+笔记)

CentOS 7 开放防火墙端口命令

CentOS 7 开放防火墙端口命令最近公司新的server要求用CentOS7, 发现以前CentOS 6 系列中的 iptables 相关命令不能用了,查了下,发现Centos 7使用firewalld代替了原来的iptables. 使用方法如下: >>> 关闭防火墙 systemctl stop firewalld.service #停止firewallsystemctl disable firewalld.service #禁止firew

CentOS 7 开放防火墙端口

我:最近在使 CentOS 7时发现在本地不能访问linux上8080端口,以上是我的操作,修改后访问成功 CentOS 7 开放防火墙端口命令最近公司新的server要求用CentOS7, 发现以前CentOS 6 系列中的 iptables 相关命令不能用了,查了下,发现Centos 7使用firewalld代替了原来的iptables. 使用方法如下: >>> 关闭防火墙 systemctl stop firewalld.service #停止firew