## Centos7防火墙设置

##### 目的 : 给一个服务器配置防火墙 限制访问

> 注意 : 防火墙的规则设置 可对5种链 4种表进行设置    因为需求为阻断特定IP访问 本文操作 只关注filter链-INPUT表的规则 且出于安全考虑 不修改链表的默认策略

##### 安装iptables

* 0.安装iptables-services

```bash

$ yum install -y iptables-services

```

效果图


* 1.停止firewalld

```bash

$ systemctl stop firewalld

```

效果图

* 2.禁止firewalld开机自启

```bash

$ systemctl disable firewalld

```

效果图


* 3.启动iptables

```bash

$ systemctl start iptables

```

效果图

* 4.设置iptables开机自启

```bash

$ systemctl enable iptables

```

效果图


* 5.查看iptables服务状态

```bash

$ service iptables status

```

效果图


##### 操作前准备

* 0.查看当前的规则列表

```bash

$ iptables -nvL

```

效果图 (每个服务器的效果可能不一样 不用在意 我们要改的)


* 1.清空当前的规则列表

```bash

$ iptables -F INPUT

```

效果图


再次查看 确保已清空

```bash

$ iptables -nvL

```

效果图

##### 添加规则

> 注意: 现在的添加 是将规则添加到当前的规则列表 并未保存到配置文件 是临时性的 如执行命令$ iptables -nvL 会清空你现在的操作 没有备份可寻 但可重新添加规则

* 0.放行

放行10.255.175.0/24网段的访问

```bash

$ iptables -t filter -A INPUT -s 10.255.175.0/24 -j ACCEPT

```

效果图


* 2.拒绝

拒绝其他IP主动请求 只允许本机主动请求 对方进行响应

```bash

$ iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

```

效果图

```bash

$ iptables -t filter -A INPUT -j REJECT

```

效果图


* 3.查看当前的规则列表 确保添加正确

```bash

$ iptables -nvL

```

效果图

##### 保存规则

> 这里的操作 就是保存当前的规则列表到配置文件 是永久生效的 遇到服务器被重启 配置文件的规则也存在  开启iptabes服务 规则就会自动生效 即同步到当前的规则列表 用命令$ iptables -nvL可查询

> 注意 : 只关注filter链-INPUT表的规则

* 0.查看配置文件原本的规则

```bash

$ vi /etc/sysconfig/iptables

```

效果图


* 1.备份配置文件原本的规则

(以防不时之需    例如:原来的规则 有一些是有用的 被清空了 想找到可以用这个备份文件恢复原来的规则)

```bash

$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables_copy

```

* 2.保存当前的规则列表到配置文件

```bash

$ service iptables save

```

效果图


* 3.查看配置文件 规则已更新

```bash

$ vi /etc/sysconfig/iptables

```

效果图

##### 测试防火墙

用放行的主机IP ping 服务器IP 是通的

用其他主机IP ping 服务器IP 是拒绝请求的

----

##### 增加新的放行规则

> 说明 : 是在现在已有规则上再新增一个放行的规则    比如说 我之前少加了一个放行规则 现在加上

添加规则

```

$ iptables -I INPUT -p udp --dport 514 -j ACCEPT

```

效果图



保存规则 同上

测试防火墙 同上

-----

-----