<![CDATA[向东博客专注WEB应用构架之美 --- 构架之美，在于尽态极妍

<![CDATA[向东博客专注WEB应用构架之美 --- 构架之美，在于尽态极妍 | 应用之美，在于药到病除]]> http://www.jackxiang.com/index.php zh-cn http://www.jackxiang.com/post// <![CDATA[[实践Ok]centos linux防火墙添加80端口iptables  ，顺带把FTP的21端口也开了得了,Rtx服务器映射linux后服务端口打开。]]> jack <xdy108@126.com> Thu, 05 Jun 2014 13:52:15 +0000 http://www.jackxiang.com/post//
centos linux防火墙添加80端口iptables

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/etc/rc.d/init.d/iptables save
实践如下：
[root@ZWCLC6X-7198 ~]# /sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@ZWCLC6X-7198 ~]# /etc/rc.d/init.d/iptables save
iptables：将防火墙规则保存到 /etc/sysconfig/iptables：     [确定]

看看是不是有了，打开之前：
[root@ZWCLC6X-7198 ~]# /etc/init.d/iptables status
表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

打开之后：
[root@ZWCLC6X-7198 ~]# /etc/init.d/iptables status
表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
6    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

#websocket swoole
/usr/sbin/iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 9502 -j ACCEPT

#防火墙端口白明单：mysql  memcache  ttserver  httpsqs
/usr/sbin/iptables -I INPUT -s 10.44.150.87 -p tcp --dport 3306   -j ACCEPT
/usr/sbin/iptables -I INPUT -s 10.44.150.87 -p tcp --dport 11211  -j ACCEPT
/usr/sbin/iptables -I INPUT -s 10.44.150.87 -p tcp --dport 21211  -j ACCEPT
/usr/sbin/iptables -I INPUT -s 10.44.150.87 -p tcp --dport 1218   -j ACCEPT

#开机启动Memcached并指定内网IP和端口，更安全。
/usr/local/memcached/bin/memcached -d  -m 8 -I 2m -u root -l 10.44.202.177 -p 11211 -c 512 -P /usr/local/memcached/var/memcached.pid

——————参考实践来源如下：——————
CentOS防火墙在虚拟机的CENTOS装好APACHE不能用,郁闷,解决方法如下

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT

然后保存：

/etc/rc.d/init.d/iptables save
centos 5.3，5.4以上的版本需要用
service iptables save
来实现保存到配置文件。
这样重启计算机后,CentOS防火墙默认已经开放了80和22端口。

这里应该也可以不重启计算机：

/etc/init.d/iptables restart

CentOS防火墙的关闭，关闭其服务即可：

查看CentOS防火墙信息：/etc/init.d/iptables status

关闭CentOS防火墙服务：/etc/init.d/iptables stop

永久关闭？不知道怎么个永久法：

chkconfig –level 35 iptables off

上面的内容是针对老版本的centos，下面的内容是基于新版本。

iptables -P INPUT DROP

这样就拒绝所有访问 CentOS 5.3 本系统数据，除了 Chain RH-Firewall-1-INPUT (2 references) 的规则外，呵呵。

用命令配置了 iptables 一定还要 service iptables save 才能保存到配置文件。

cat /etc/sysconfig/iptables 可以查看防火墙 iptables 配置文件内容

# Generated by iptables-save v1.3.5 on Sat Apr 14 07:51:07 2001
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1513:149055]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Apr 14 07:51:07 2001

另外补充:
CentOS 防火墙配置 80端口
看了好几个页面内容都有错，下面是正确方法：
#/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
#/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT

然后保存：
#/etc/rc.d/init.d/iptables save

再查看是否已经有了：
[root@vcentos ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
3 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

* 设置iptables为自动启动
chkconfig --level 2345 iptables on

可能因为大家使用的版本不一，所有使用方法也略有不同。

如果需要远程管理mysql，则使用以下指令临时打开，用完后关闭

* 打开指令
iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport 3306 -j ACCEPT

* 关闭指令
iptables -D INPUT -p tcp -s xxx.xxx.xxx.xxx --dport 3306 -j ACCEPT

来源：http://webnoties.blog.163.com/blog/static/18352514120136925216946/

Centos 安装FTP配置目录权限，iptables设置ftp服务：
http://blog.hexu.org/archives/1388.shtml
开21端口：
1.添加ip_conntrack_ftp 模块
[root@hexuweb101 ~] vi /etc/sysconfig/iptables-config
添加下面一行
IPTABLES_MODULES="ip_conntrack_ftp"
2.打开21端口
[root@hexuweb101 ~] vi /etc/sysconfig/iptables
CentOS 5.x版本添加如下规则
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
CentOS 6.x版本添加如下规则
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
3.重启iptables使新的规则生效
[root@hexuweb101 ~] service iptables restart
4. 检查iptables 是否正常
[root@hexuweb101 ~]$service iptables status

实践OK，过程如下：
vi /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_ftp"

vi /etc/sysconfig/iptables
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

[root@ZWCLC6X-7198 ~]# netstat -atlunp|grep 21
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      1176/vsftpd
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      2135/mysqld
tcp        0      0 119.10.6.23:22              14.17.126.76:63152          ESTABLISHED 26521/sshd
tcp        0      0 119.10.6.23:80              101.231.188.70:50215        ESTABLISHED 904/nginx
udp        0      0 119.10.6.23:45817           202.106.0.20:53             ESTABLISHED 26521/sshd
[root@ZWCLC6X-7198 ~]# vi /etc/sysconfig/iptables-config
[root@ZWCLC6X-7198 ~]# vi /etc/sysconfig/iptables
[root@ZWCLC6X-7198 ~]# service iptables restart
iptables：清除防火墙规则：                                 [确定]
iptables：将链设置为政策 ACCEPT：filter                    [确定]
iptables：正在卸载模块：                                   [确定]
iptables：应用防火墙规则：                                 [确定]
iptables：载入额外模块：ip_conntrack_ftp                   [确定]
[root@ZWCLC6X-7198 ~]# service iptables status
表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
7    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

三、vmware打开：
Please specify a port for remote connections to use [902]
Please specify a port for standard http connections to use [8222]
Please specify a port for secure http (https) connections to use [8333]

/sbin/iptables -I INPUT -p tcp --dport 902 -j ACCEPT
/etc/rc.d/init.d/iptables save

/sbin/iptables -I INPUT -p tcp --dport 8222 -j ACCEPT
/etc/rc.d/init.d/iptables save

/sbin/iptables -I INPUT -p tcp --dport 8333 -j ACCEPT
/etc/rc.d/init.d/iptables save

Rtx服务器映射linux后服务端口打开:
/usr/local/scripts/rtxPortRemapIptables.sh

关于iptable如何在开机启动和crontab里放入自动把某些IP及端口打开或扔进防火墙的链接如下：
http://jackxiang.com/post/7782/

直接写里面经实践好像没有生效，还不如直接这样经测试是Ok的，AddTime:2015-02-02：
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 9000 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8015 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 9004 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 9001 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8000 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8006 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8880 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8010 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8003 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8009 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 9005 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8017 -j ACCEPT

VNC:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5901 -j ACCEPT ]]> http://www.jackxiang.com/post//#blogcomment <![CDATA[[评论] [实践Ok]centos linux防火墙添加80端口iptables  ，顺带把FTP的21端口也开了得了,Rtx服务器映射linux后服务端口打开。]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.jackxiang.com/post//#blogcomment