如何解决linux防火墙规则重启问题? (linux 防火墙规则重启问题)
Linux防火墙是保障服务器安全的重要组成部分之一,但有时会遇到防火墙规则重启的问题,这会导致防火墙规则失效,服务器安全受到威胁。为了解决这个问题,我们需要了解防火墙规则重启的原因以及如何正确的解决这个问题。
防火墙规则重启的原因
1. 系统升级或更换硬件
在系统升级或更换硬件时,可能会导致防火墙规则失效,需要重新设置防火墙规则。
2. 防火墙软件更新
防火墙软件更新时,可能会导致防火墙规则失效,需要重新设置防火墙规则。
3. 误操作
一些管理员可能会在不知情的情况下误操作了防火墙规则设置,导致防火墙规则失效。
如何正确解决防火墙规则重启的问题
1. 创建脚本文件
创建脚本文件可以帮助我们解决防火墙规则重启的问题。我们可以在脚本文件中设置需要恢复的防火墙规则,然后在服务器重启时运行脚本文件即可。
以下是创建脚本文件的步骤:
Step1. 创建一个新的 shell 脚本:
$ sudo vi /opt/fw-rules
Step2. 添加防火墙规则
在脚本文件中,我们可以添加需要恢复的防火墙规则,例如:
#!/bin/sh
/in/iptables -P INPUT ACCEPT
/in/iptables -F
/in/iptables -A INPUT -i lo -j ACCEPT
/in/iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
/in/iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT
/in/iptables -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
/in/iptables -A INPUT -j REJECT –reject-with icmp-host-prohibited
Step3. 保存并关闭文件
按 Esc 键,输入 :wq 保存并关闭文件。
2. 设置自动运行脚本
为了确保每次服务器重启后都能运行脚本文件,我们需要设置自动运行脚本。在 Linux 中可以使用 cron 服务实现定时任务。
以下是设置自动运行脚本的步骤:
Step1. 编辑 crontab 文件:
$ sudo crontab -e
Step2. 添加定时任务:
在文件中添加以下内容,定时运行脚本文件:
@reboot /bin/sh /opt/fw-rules
Step3. 保存并关闭文件
按 Esc 键,输入 :wq 保存并关闭文件。
3. 使用 iptables-save 和 iptables-restore 命令
iptables-save 和 iptables-restore 命令是防火墙规则管理的工具。我们可以使用 iptables-save 命令将当前的防火墙规则保存在文件中,然后在需要恢复规则时,使用 iptables-restore 命令即可恢复。
以下是使用 iptables-save 和 iptables-restore 命令的步骤:
Step1. 保存当前的防火墙规则:
$ sudo iptables-save > /opt/fw-rules
Step2. 恢复防火墙规则:
$ sudo iptables-restore
防火墙规则重启是服务器安全问题的一个重要方面,我们需要注意防火墙规则的设置和管理,确保防火墙规则在重启后能够正确的恢复。我们可以通过创建脚本文件、设置自动运行脚本和使用 iptables-save 和 iptables-restore 命令等方式来解决防火墙规则重启的问题。希望这篇文章可以帮助大家更好的保障服务器的安全。
相关问题拓展阅读:
linux 服务器 防火墙 设置问题
iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来,它的功能更为强大。Iptables 提供以下三种功能:包过滤、NAT(网络地址转换)和悄滚扮通用的 pre-route packet mangling。包过滤:用来过滤包,但是不修改包的内容。Iptables 在包过滤方面相对于 ipchians 的主要优点是速度更快,使用更方便。NAT:NAT 可以分为源地址 NAT 和目的地址 NAT。
Iptables 可以追加、插入或删除包过滤规则。实际上真正执行这些过虑规则的是 netfilter 及其相关模块(如 iptables 模块和 nat 模块)。Netfilter 是 Linux 核心中一个通用架构,它提供了一系列的 “表”(tables),每个表由若干 “链”(chains)组成,而每条链中可以有一条或数条 “规则”(rule)组成。
系统缺省的表为 “filter”,该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。
每一条链中可以有一条或数条规则,每一条规则都是这样定义的:如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从之一条规则开始检查,看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包。
? table,chain,rule
iptables 可以操纵3 个表:filter 表,nat 表,mangle 表。
NAT 和一般的 mangle 用 -t 参数指定要操作哪个表。filter 是默认的表,如果没有 -t 参数,就默认对 filter 表操作。
Rule 规则:过滤规则,端口转发规则等,例如:禁止任何机器 ping 我们的服务器,可以在服务器上设置一条规则:
iptables -A INPUT -s ! 127.0.0.1 -p icmp -j DROP
从 –s 开始即是一条规则,-j 前面是规则的条件,-j 开始是规则的行为(目的)。整条命令解释为,在filter 表中的 INPUT 规则链中插入一条规则,所有源启灶地址不为 127.0.0.1 的 icmp 包都被抛弃。
Chain 规则链:由一系列规则组成,每个包顺序经备历过 chain 中的每一条规则。chain 又分为系统 chain和用户创建的 chain。下面先叙述系统 chain。
filter 表的系统 chain: INPUT,FORWAD,OUTPUT
nat 表的系统 chain: PREROUTING,POSTROUTING,OUTPUT
mangle 表的系统 chain: PREROUTING,OUTPUT
每条系统 chain 在确定的位置被检查。比如在包过滤中,所有的目的地址为本地的包,则会进入INPUT 规则链,而从本地出去的包会进入 OUTPUT 规则链。
所有的 table 和 chain 开机时都为空,设置 iptables 的方法就是在合适的 table 和系统 chain 中添相应的规则。
——
IPTABLES 语法:
表: iptables从其使用的三个表(filter、nat、mangle)而得名, 对包过滤只使用 filter 表, filter还是默认表,无需显示说明.
操作命令: 即添加、删除、更新等。
链:对于包过滤可以针对filter表中的INPUT、OUTPUT、FORWARD链,也可以操作用户自定义的链。
规则匹配器:可以指定各种规则匹配,如IP地址、端口、包类型等。
目标动作:当规则匹配一个包时,真正要执行的任务,常用的有:
ACCEPT 允许包通过
DROP 丢弃包
一些扩展的目标还有:
REJECT 拒绝包,丢弃包同时给发送者发送没有接受的通知
LOG 包有关信息记录到日志
TOS 改写包的TOS值
为使FORWARD规则能够生效,可使用下面2种方法的某种:
# vi /proc/sys/net/ipv4/ip_forward
# echo “1” > /proc/sys/net/ipv4/ip_forward
# vi /etc/sysconfig/network
# echo “FORWARD_IPV4=true” > /etc/sysconfig/network
iptables语法可以简化为下面的形式:
iptables CMD
常用操作命令:
-A 或 -append 在所选链尾加入一条或多条规则
-D 或 -delete 在所选链尾部删除一条或者多条规则
-R 或 -replace 在所选链中替换一条匹配规则
-I 或 -insert 以给出的规则号在所选链中插入一条或者多条规则. 如果规则号为1,即在链头部.
-L 或 -list 列出指定链中的所有规则,如果没有指定链,将列出链中的所有规则.
-F 或 -flush 清除指定链和表中的所由规则, 假如不指定链,那么所有链都将被清空.
-N 或 -new-chain 以指定名创建一条新的用户自定义链,不能与已有链名相同.
-X 或 -delete-chain 删除指定的用户定义帘,必需保证链中的规则都不在使用时才能删除,若没有指定链,则删除所有用户链.
-P 或 -policy 为永久帘指定默认规则(内置链策略),用户定义帘没有缺省规则,缺省规则也使规则链中的最后一条规则,用-L显示时它在之一行显示.
-C 或 -check 检查给定的包是否与指定链的规则相匹配.
-Z 或 -zero 将指定帘中所由的规则包字节(BYTE)计数器清零.
-h 显示帮助信息.
—–
常用匹配规则器:
-p , protocol 指出要匹配的协议,可以是tcp, udp, icmp, all, 前缀!为逻辑非,表示除该协议外的所有协议.
-s address 指定源地址或者地址范围.
-sport port 指定源端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-d address 指定目的地址或者地址范围.
-dport port 指定目的端口号或范围,可以用端口号也可以用/ETC/SERVICES文件中的名子.
-icmp-type typename 指定匹配规则的ICMP信息类型(可以使用 iptables -p icmp -h 查看有效的ICMP类型名)
-i interface name 匹配单独或某种类型的接口,此参数忽略时,默认符合所有接口,接口可以使用”!”来匹配捕食指定接口来的包.参数interface是接口名,如 eth0, eht1, ppp0等,指定一个目前不存在的接口是完全合法的,规则直到接口工作时才起作用,折中指定对于PPP等类似连接是非常有用的.”+”表示匹配所有此类型接口.该选项只针对于INPUT,FORWARD和PREROUTING链是合法的.
-o interface name 匹配规则的对外网络接口,该选项只针对于OUTPUT,FORWARD,POSTROUTING链是合法的.
–syn 仅仅匹配设置了SYN位, 清除了ACK, FIN位的TCP包. 这些包表示请求初始化的TCP连接.阻止从接口来的这样的包将会阻止外来的TCP连接请求.但输出的TCP连接请求将不受影响.这个参数仅仅当协议类型设置为了TCP才能使用. 此参数可以使用”!”标志匹配已存在的返回包,一般用于限制网络流量,即只允许已有的,向外发送的连接所返回的包.
—
如何制定永久规则集:
/etc/sysconfig/iptables 文件是 iptables 守护进程调用的默认规则集文件.
可以使用以下命令保存执行过的IPTABLES命令:
/in/iptables-save > /etc/sysconfig/iptables
要恢复原来的规则库,可以使用:
/in/iptables-restore
iptables命令和route等命令一样,重启之后就会恢复,所以:
# service iptables save
将当前规则储存到 /etc/sysconfig/iptables:
令一种方法是 /etc/rc.d/init.d/iptables 是IPTABLES的启动脚本,所以:
# /etc/rc.d/init.d/iptables save
将当前规则储存到 /etc/sysconfig/iptables:
以上几种方法只使用某种即可.
若要自定义脚本,可直接使用iptables命令编写一个规则脚本,并在启动时执行:
例如若规则使用脚本文件名/etc/fw/rule, 则可以在/etc/rc.d/rc.local中加入以下代码:
if ; then /etc/fw/sule; fi;
这样每次启动都执行该规则脚本,如果用这种方法,建议NTSYSV中停止IPTABLES.
—
实例:
链基本操作:
# iptables -L -n
(列出表/链中的所有规则,包过滤防火墙默认使用的是filter表,因此使用此命令将列出filter表中所有内容,-n参数可加快显示速度,也可不加-n参数。)
# iptables -F
(清除预设表filter中所有规则链中的规则)
# iptables -X
(清除预设表filter中使用者自定义链中的规则)
# iptables -Z
(将指定链规则中的所有包字节计数器清零)
—-
设置链的默认策略,默认允许所有,或者丢弃所有:
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
(以上我们在不同方向设置默认允许策略,若丢弃则应是DROP,严格意义上防火墙应该是DROP然后再允许特定)
向链中添加规则,下面的例子是开放指定网络接口(信任接口时比较实用):
# iptables -A INPUT -i eth1 -j ACCEPT
# iptables -A OUTPUT -o eth1 -j ACCEPT
# iptables -A FORWARD -i eth1 -j ACCEPT
# iptables -A FORWARD -o eth1 -j ACCEPT
——
使用用户自定义链:
# iptables -N brus
(创建一个用户自定义名叫brus的链)
# iptables -A brus -s 0/0 -d 0/0 -p icmp -j DROP
(在此链中设置了一条规则)
# iptables -A INPUT -s 0/0 -d 0/0 -j brus
(向默认的INPUT链添加一条规则,使所有包都由brus自定义链处理)
基本匹配规则实例:
匹配协议:
iptables -A INPUT -p tcp
(指定匹配协议为TCP)
iptables -A INPUT -p ! tcp
(指定匹配TCP以外的协议)
匹配地址:
iptables -A INPUT -s 192.168.1.1
(匹配主机)
iptables -A INPUT -s 192.168.1.0/24
(匹配网络)
iptables -A FORWARD -s ! 192.168.1.1
(匹配以外的主机)
iptables -A FORWARD -s ! 192.168.1.0/24
(匹配以外的网络)
匹配接口:
iptables -A INPUT -i eth0
iptables -A FORWARD -o eth0
(匹配某个指定的接口)
iptables -A FORWARD -o ppp+
(匹配所有类型为ppp的接口)
匹配端口:
iptables -A INPUT -p tcp –sport www
iptables -A INPUT -p tcp –sport 80
(匹配单一指定源端口)
iptables -A INPUT -p ucp –dport 53
(匹配单一指定目的端口)
iptables -A INPUT -p ucp –dport ! 53
(指定端口以外)
iptables -A INPUT -p tcp –dport 22:80
(指定端口范围,这里我们实现的是22到80端口)
指定IP碎片的处理:
# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT
# iptables -A FORWARD -f -p tcp -s 192.168.1.0/24 -d 192.168.1.234 –dport 80 -j ACCEPT
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp.168.1.0/.168.1.tcp dpt:http
ACCEPT tcp -f 192.168.1.0/.168.1.tcp dpt:http
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
设置扩展的规测匹配:
(希望获得匹配的简要说明,可使用: iptables -m name_of_match –help)
多端口匹配扩展:
iptables -A INPUT -p tcp -m multiport –source-port 22,53,80
(匹配多个源端口)
iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80
(匹配多个目的端口)
iptables -A INPUT -p tcp -m multiport –port 22,53,80
(匹配多个端口,无论是源还是目的端口)
TCP匹配扩展:
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN
(表示SYN、ACK、FIN的标志都要被检查,但是只有设置了SYN的才匹配)
iptables -A INPUT -p tcp –tcp-flags ALL SYN,ACK
(表示ALL:SYN、ACK、FIN、RST、URG、PSH的标志都被检查,但是只有设置了SYN和ACK的才匹配)
iptables -p tcp –syn
(选项–syn是以上的一种特殊情况,相当于“–tcp-flags SYN,RST,ACK SYN”的简写)
limit速率匹配扩展:
# iptables -A FORWARD -m limit –limit 300/hour
(表示限制每小时允许通过300个数据包)
# iptables -A INPUT -m limit –limit-burst 10
(–limit-burst指定触发时间的值(默认为5),用来比对瞬间大量数据包的数量。)
(上面的例子用来比对一次同时涌入的数据包是否超过十个,超过此上限的包将直接被丢弃)
# iptables -A FORWARD -p icmp -m limit –limit 3/m –limit-burst 3
(假设均匀通过,平均每分钟3个,那么触发值burst保持为3。如果每分钟通过的包的数目小于3,那么触发值busrt将在每个周期(若每分钟允许通过3个,则周期数为20秒)后加1,但更大值为3。每分钟要通过的包数量如果超过3,那么触发值busrt将减掉超出的数值,例如第二分钟有4个包,那么触发值变为2,同时4个包都可以通过,第三分钟有6个包,则只能通过5个,触发值busrt变为0。之后,每分钟如果包数量小于等于3个,则触发值busrt将加1,如果每分钟包数大于3,触发值busrt将逐渐减少,最终维持为0)
(即每分钟允许的更大包数量等于限制速率(本例中为3)加上当前的触发值busrt数。任何情况下,都可以保证3个包通过,触发值busrt相当于是允许额外的包数量)
基于状态的匹配扩展(连接跟踪):
每个网络连接包括以下信息:源和目的地址、源和目的端口号,称为套接字对(cocket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些叫做状态(stateful)。能够监测每个连接状态的防火墙叫做状态宝过滤防火墙,除了能完成普通包过滤防火墙的功能外,还在自己的内存中维护一个跟踪连接状态的表,所以拥有更大的安全性。
其命令格式如下:
iptables -m state –state state
state表示一个用逗号隔开的的列表,用来指定的连接状态可以有以下4种:
NEW:该包想要开始一个连接(重新连接或将连接重定向)。
RELATED:该包属于某个已经建立的连接所建立的新连接。例如FTP的数据传输连接和控制连接之间就是RELATED关系。
ESTABLISHED:该包属于某个已经建立的连接。
INVALID:该包不匹配于任何连接,通常这些包会被DROP。
例如:
# iptables -A INPUT -m state –state RELATED,ESTABLISHED
(匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包)
# iptables -A INPUT -m state –state NEW -i ! eth0
(匹配所有从非eth0接口来的连接请求包)
下面是一个被动(Passive)FTP连接模式的典型连接跟踪
# iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
下面是一个主动(Active)FTP连接模式的典型连接跟踪
# iptables -A INPUT -p tcp –sport 20 -m state –state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT
—
日志记录:
格式为: -j LOG –log-level 7 –log-prefix “……”
# iptables -A FORWARD -m tcp -p tcp -j LOG
# iptables -A FORWARD -m icmp -p icmp -f -j LOG
# iptables -A FORWARD -s 192.168.1.0/24 -d 10.10.10.0/24 -p tcp –sport 80 -j LOG
# iptables -A INPUT -m limit –limit 3/minute –limit-burst 3 -j LOG –log-prefix “INPUT packet died:”
# iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “New net syn:”
——
回答你的问题:
1:设置为DROP默认不允许,然后你再开启,这样比门户大开再阻止某些服务来的安全(避免遗漏)
2:前面阻止了后面就无效了,有先后顺序的.
3:你了解了服务和端口号等即可用规则限制.
如培敏果159.226是一个公网IP,那本来就能访问外部了。
如果你说的是对配世枝端服务器上的防火墙设置,把下面内返早容写入一个文本,再用sh调用就可了
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport –dport 22,389 -m state –state NEW -j ACCEPT
iptables -I INPUT -s 159.226.49.0/24 -d XXXX(Server IP) –dport 22 -j ACCEPT
其他把22换成相斗乱应的端空闹档口号,照着写即弯配可.
如何在Linux中启动/停止和启用/禁用FirewallD和Iptables防火墙
在Linux系统中不同的版本系统对服务的操作是不一样的。
在RHEL&Centos6版本及之前的版本中对服务的管理是这样的:
#service 服务名 start/stop/status/restart/reload
例如:
#service iptables status \\iptables 的状态
#service iptables stop \搏培\iptables 停止
#service iptables restart \\iptables重启
#chkconfig iptables on \\开机自启
#chkconfig iptables off \\开机关闭
在RHEL&Centos6版本及之前的版本中对服务的管理是这样的:
#systemct start/stop/status/restart/reload 服灶银森务.service
例如:
#systemctl start firewalld \\启用firewalld
#systemctl stop firewalld \\关闭firewalld
#systemctl enabledfirewalld \\开机启用firewalld
#systemctl disabled firewalld \\开机禁用firewalld
如何配置linux下的防火墙?
Linux下开启/关闭防火墙命令
1、永久性生效,重启后不会复原。
开启: chkconfig iptables on
关闭: chkconfig iptables off
2、 即时扒皮生效,重启后复原
开启: service iptables start
关闭: service iptables stop
需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。
扩展圆罩资料
linux配置防火墙规则:
1、在Linux系统中查找并打开文件以编辑和配置防火墙,执行命令。: vi /etc/sysconfig/iptables。
2、将以下语句添加到上面打开的文件中:-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT(允许端口80通过防火墙,这里以端口80为橘此闹例)。
请注意,上述语句不会加载文件的最后一面,这将导致防火墙无法启动。 应将正确的一个添加到默认的22端口规则中。
3、配置防火墙规则
# Manual customization of this file is not recommended.
4、重启防火墙,使配置生效。
/etc/init.d/iptables restart或者service iptables restart
重启如下:
配置linux下的防火墙的方法,可以通过握运以下步骤操作来实现:
一、在Linux系统中安装Iptables防火墙
1、Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
二、关闭哪些防火墙端口
防火墙安装的之一步是确定哪些端口在服务器中保持打开状态中孙。这将根据您使用的服务器类型而有所不同。例如,如果运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,需从段培梁一套新的规则开始,运行以下命令来清除防火墙中的规则:
2、屏蔽服务器攻击路由
可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
屏蔽XMAS数据包:
阻止无效数据包:
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,需要打开所需端口。下列例子,供参考:
允许SSH访问:
打开LOCALHOST访问权限:
允许网络流量:
允许TP流量:
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
1、首先需要在Linux系统中查找并打开文件以编辑和配置防火墙,执行命令: vi /etc/sysconfig/iptables。
2、然后将以下语句添加到上面打开的文件中:-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT(允许端口80通过防火墙,这里以端口80为例)。
请注意,上述语句不会加载文件的最后一面,这将导致防火银培墙无法启动。 应将正确的一个添加到默认的22端口规则中。
3、配置防火墙规则
# Manual customization of this file is not recommended.
4、重启袭明防火墙,使配置生效。
/etc/init.d/iptables restart或者service iptables restart
重启如下:
扩展资料:
查看防火墙规则是否生效:
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp — 0.0.0.0/.0.0.0/0 拍搏告
ACCEPT all.0.0.0/.0.0.0/
ACCEPT tcp.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp.0.0.0/.0.0.0/0 state NEW tcp dpt:80
准备装有Linux系统的电脑。
1.在linux系统里面找到并打开编辑配置防火墙的文件,执行命令:
vi /etc/sysconfig/iptables。
2.在上面打开的文件里面加入一散数下语句:
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙)。
3.重启防火墙使配置生效语句service iptables restart。
4.查看防火墙规则是否生效。
扩展资料腔慎:
查伍掘敬看防火墙状态:
# service iptables status
iptables:未运行防火墙。
开启防火墙:
# service iptables start
关闭防火墙:
# service iptables stop
1、在Linux系统中查找并打开文件以编辑和配置防火墙,执行命令。: vi /etc/sysconfig/iptables。
2、将以下语句添加悄兄到上面打开的文件中:-A INPUT -m state -state NEW -m tcp -p tcp -dport 80 -j ACCEPT(允许端口80通过防火墙,这里以端口80为例)。
请注意,上述语句不会加载文件的最后一面,这将导致防火墙无法启动。 应将正确的一个添加到默认的22端口规则中。
3、配置防火墙规则
# Manual customization of this file is not recommended.
4、重启防火墙,使配置生效枯运陪。
/etc/init.d/iptables restart或者service iptables restart
重启如下:
扩展资料:
查看防火墙规则是否生效:
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp — 0.0.0.0/.0.0.0/
ACCEPT all.0.0.0/.0.0.0/0 没蠢
ACCEPT tcp.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp.0.0.0/.0.0.0/0 state NEW tcp dpt:80
REJECT all.0.0.0/.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all.0.0.0/.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt sourcedestination
参考资料:
linux 防火墙规则重启问题的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux 防火墙规则重启问题,如何解决linux防火墙规则重启问题?,linux 服务器 防火墙 设置问题,如何在Linux中启动/停止和启用/禁用FirewallD和Iptables防火墙,如何配置linux下的防火墙?的信息别忘了在本站进行查找喔。
