服务器安全-centos7 防火墙端口设置_centos7防火墙添加端口

# 开启和关闭防火墙
 
systemctl start firewalld      # 启动防火墙
systemctl status firewalld     # 查看防火墙状态
systemctl stop firewalld       # 关闭防火墙
 
systemctl disable firewalld    # 开启不启动防火墙
systemctl enable firewalld     # 开机启动防火墙

centos7 防火墙添加端口：【单个】
firewall-cmd --zone=public --add-port=443/tcp --permanent
centos7 防火墙添加端口：【范围】
firewall-cmd --zone=public --add-port=20000-30000/tcp --permanent
【重新载入】
firewall-cmd --reload
【查看】
firewall-cmd --zone=public --list-ports
【删除】
firewall-cmd --zone=public --remove-port=80/tcp --permanent

CentOS切换为iptables防火墙

切换到iptables首先应该关掉默认的firewalld，然后安装iptables服务。

1、关闭firewall：

service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动
 
# 不行的话换下面的
systemctl stop firewalld
systemctl mask firewalld

2、安装iptables防火墙

yum install iptables-services #安装

3、编辑iptables防火墙配置

vi /etc/sysconfig/iptables

下边是一个完整的配置文件：

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6379 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8022 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8024 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8082 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8192 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 18080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000:20000 -j ACCEPT
# 防止syn攻击
# 传入的tcp链接是SYN数据包，如果不是就丢弃
-A INPUT -p tcp --syn -m state --state NEW -j DROP
# 强制检查碎片包，把带有传入片段的数据包丢弃
-A INPUT -f -j DROP
# 丢弃格式错误的XMAS数据包
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# 丢弃格式错误的NULL数据包
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# 限制syn并发数每秒1次
-A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
 
# 防止各种端口扫描
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping洪水攻击（Ping of Death）
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# 禁止udp服务
#-A INPUT -s 8.8.8.8 -p UDP --sport=53 -j ACCEPT
#-A INPUT -s 8.8.4.4 -p UDP --sport=53 -j ACCEPT
-A INPUT -p UDP -j DROP
#-A OUTPUT -p UDP -d 8.8.8.8 --dport 53 -j ACCEPT
#-A OUTPUT -p UDP -d 8.8.4.4 --dport 53 -j ACCEPT
-A OUTPUT -p UDP -j DROP
 
# 指定IP访问本机端口
-I INPUT -p tcp --dport 3306 -j DROP
-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT
-I INPUT -s XXX.XX.XX.XX -p tcp --dport 3306 -j ACCEPT
 
# 禁止ip访问
-I INPUT -s 120.227.17.174 -j DROP

service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动

4、iptables拦截IP访问

# 查看规则
iptables -L
 
# 禁止IP访问
iptables -I INPUT -s xx.xx.xx.xx -j DROP
 
# 解除IP访问
iptables -D INPUT -s xx.xx.xx.xx -j DROP