#!/bin/bash ip1=${group_host1} ip2=${group_host2} ip3=${group_host3} ip4=${group_host4} ip5=${group_host5} iptables -F #清空所有的防火墙规则 iptables -X #删除用户自定义的空链 iptables -Z #清空计数 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -P INPUT DROP #配置默认的不让进 iptables -P FORWARD DROP #默认的不允许转发 iptables -P OUTPUT ACCEPT #默认的可以出去 iptables -A INPUT -p all -s $ip1 -j ACCEPT #允许机房内网机器可以访问 iptables -A INPUT -p all -s $ip2 -j ACCEPT #允许机房内网机器可以访问 iptables -A INPUT -p all -s $ip3 -j ACCEPT #允许机房内网机器可以访问 iptables -A INPUT -p all -s $ip4 -j ACCEPT #允许机房内网机器可以访问 iptables -A INPUT -p all -s $ip5 -j ACCEPT #允许机房内网机器可以访问 ####[console 组件所在的机器配置,多配置下面几行] iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开启80端口,因为web对外都是这个端口 iptables -A INPUT -p tcp --dport 443 -j ACCEPT #开启443端口,https端口 iptables -A INPUT -p tcp --dport 5511 -j ACCEPT #开启5511端口,命令通道端口 iptables -A INPUT -p tcp --dport 8820 -j ACCEPT #开启8820端口,数据上报通道端口 iptables -A INPUT -p tcp --dport 8099 -j ACCEPT #开启8099端口, iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #允许被ping iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak iptables-save > /etc/sysconfig/iptables 各参数的含义为: -L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。 -n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。 -v 表 删除某一条ip的端口 iptables -A INPUT -p tcp --dport 88 -s 192.168.223.134 -j DROP iptables -A INPUT -s 192.168.1.5 -j DROP //所有入站流量全部丢弃,包括SSH请求 iptables -A INPUT -j DROP //所有入站流量全部丢弃,包括SSH请求 iptables -A OUTPUT -j DROP *//所有出站流量全部丢弃. -A在指定链的末尾添加(append)一条新的规则 -j代表指定你要操作的动作 iptables -I INPUT -j DROP iptables -I OUTPUT -j DROP -I代表插入到开头 上述两条命令一旦执行,所有流量无法进来,所有流量无法出去,为断网状态 在修改规则时需要使用-R参数。 例如:把添加在第 6 行规则的 DROP 修改为 ACCEPT iptables -R INPUT 6 -s 192.168.1.9 -j ACCEPT 显示行数 iptables -nL --line-number 4) 删除规则 删除规则有两种方法,但都必须使用 -D 参数。 例如:删除添加的第 6 行的规则 [root@liangxu ~]# iptables -D INPUT 6 -s 194.168.1.5 -j ACCEPT or [root@liangxu ~]# iptables -D INPUT 6 默认的 iptables 防火墙规则会立刻生效,但如果不保存, 当计算机重启后所有的规则都会丢失,所以对防火墙规则进行及时保存的操作是非常必要的。 CentOS 7 系统中防火墙规则默认保存在 /etc/sysconfig/iptables 文件中, 使用 iptables-save 将规则保存至该文件中可以实现保存防火墙规则的作用 即: 保存在默认文件夹中(保存防火墙规则): [root@liangxu ~]# iptables-save > /etc/sysconfig/iptables 保存在其他位置(备份防火墙规则): [root@liangxu ~]# iptables-save > 文件名称 列出nat表的规则内容,命令如下: [root@liangxu ~]# iptables-save -t nat iptables-restore命令批量导入 iptables-restore 命令可以批量导入Linux防火墙规则,同时也需要结合重定向输入来指定备份文件的位置。 [root@liangxu ~]# iptables-restore < 文件名称 注意,导入的文件必须是使用 iptables-save工具导出来的才可以。 也就是说格式只支持iptab-save的格式 traceroute 做ip和端口测试(需要在root下执行) 探测192.168.1.1的TCP22端口是否能通 traceroute -n -T 192.168.1.2 -p 9100 用法:traceroute [参数] [参数] ... 主机IP -4 使用IPv4地址 -6 使用IPv6地址 -I 使用ICMP来追踪路由 -T 指定TCP格式,默认为UDP -n 不解析成域名 -p 指定目的地址的端口号 -U 指定UDP格式 -s 指定源地址 -w 等待时间,等待超时的时间 -q 每个跃点的探测数,也就是发包个数,默认为3