CentOS 7 配置 iptables 防火墙

CentOS 7 配置 iptables 防火墙

1. 服务介绍

iptables 是 Linux 内核 Netfilter 的规则管理工具,用于控制入站、出站和转发流量,也可实现源地址转换、端口映射等 NAT 功能。常见场景包括限制服务器开放端口、允许指定管理网段访问 SSH、为内网主机提供互联网出口。

2. 准备运行环境

• 操作系统:CentOS 7.x。

• 操作账号:root 或具备 sudo 权限的管理员账号。

• 软件源可用,服务器网络配置正常。

• 操作前确认当前 SSH 来源地址和管理端口。

• 远程修改时保留控制台或回滚窗口,避免错误规则导致失联。

3. 相关知识

filter 表负责过滤;常用链为 INPUTOUTPUTFORWARD

nat 表负责地址转换;常用链为 PREROUTINGPOSTROUTING

• 规则按顺序匹配,命中后通常停止继续匹配。

• 应先允许回环、已建立连接和管理流量,再设置默认拒绝策略。

• CentOS 7 默认使用 firewalld;切换到 iptables-services 前应避免两个防火墙服务同时管理规则。

• 临时命令重启后会丢失;需要使用 iptables-services 保存并恢复规则。

4. 实验步骤

4.1 安装并启用 iptables-services

bash 复制代码
yum -y install iptables-services
systemctl disable --now firewalld
systemctl enable --now iptables

备份当前规则:

bash 复制代码
iptables-save > /root/iptables.backup

4.2 配置基础入站策略

清理实验环境旧规则,并先允许必要流量:

bash 复制代码
iptables -F
iptables -X
iptables -t nat -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.1.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

设置默认策略:

bash 复制代码
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

如果 SSH 管理来源不属于 10.1.100.0/24,必须先把示例网段改成实际管理网段。

4.3 配置内网 SNAT

假设内网为 10.1.100.0/24,公网出口接口为 ens33

bash 复制代码
sysctl -w net.ipv4.ip_forward=1
echo 'net.ipv4.ip_forward = 1' > /etc/sysctl.d/99-ip-forward.conf
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.1.100.0/24 -o ens33 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.1.100.0/24 -o ens33 -j MASQUERADE

4.4 保存规则

bash 复制代码
service iptables save
iptables-save > /etc/sysconfig/iptables
systemctl restart iptables

5. 验证结果

服务端检查服务和规则:

bash 复制代码
systemctl status iptables --no-pager
iptables -S
iptables -L -n -v --line-numbers
iptables -t nat -L -n -v --line-numbers
sysctl net.ipv4.ip_forward
ss -lntp
journalctl -u iptables -n 50 --no-pager

客户端验证:

bash 复制代码
ping -c 4 <服务器IP>
ssh root@<服务器IP>
curl -I http://<服务器IP>
curl -I https://<服务器IP>

内网客户端访问外网后,在网关查看计数器:

bash 复制代码
iptables -t nat -L POSTROUTING -n -v --line-numbers
iptables -L FORWARD -n -v --line-numbers

允许的 SSH、HTTP、HTTPS 流量可访问,未放行端口被拒绝,NAT 和 FORWARD 规则计数增加,说明 iptables 配置生效。

6. 回滚方法

远程操作出现异常时,通过控制台恢复备份:

bash 复制代码
iptables-restore < /root/iptables.backup
service iptables save
相关推荐
磐链科技2 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
数据知道3 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密
AI创界者3 小时前
安全测试环境搭建:在 Kali Linux 中部署与配置开源 WebShell 管理工具 AntSword(蚁剑)
linux·运维·安全
深盾科技_Virbox5 小时前
软件授权工具静默安装实践
java·运维·数据库·安全·软件需求
এ慕ོ冬℘゜5 小时前
前端核心知识体系进阶:从安全机制、网络协议到原生 JS 实战全解析
前端·网络协议·安全
延凡科技6 小时前
延凡科技综合监控预警处置平台—— 一体化视频AI安防闭环系统设计与功能实现[特殊字符]️
数据库·人工智能·科技·安全·能源
Amy187021118236 小时前
筑牢算力底座的安全防线:直流绝缘监测如何为固态变压器保驾护航
安全
HackTwoHub6 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Kyrie6786 小时前
为什么我们不能等待更好的后量子签名算法
安全