如何在 centos 7 上使用 iptables？ [关闭]

Question

我以最少的配置（操作系统 + 开发工具）安装了 CentOS 7。我正在尝试为httpd 服务打开 80 端口，但是我的 iptables 服务有问题……它有什么问题？我究竟做错了什么？

# ifconfig/sbin/service iptables save
bash: ifconfig/sbin/service: No such file or directory


# /sbin/service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

# sudo service iptables status
Redirecting to /bin/systemctl status  iptables.service
iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

# /sbin/service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

# sudo service iptables start
Redirecting to /bin/systemctl start  iptables.service
Failed to issue method call: Unit iptables.service failed to load: No such file or directory.

Answer 1

上个月我尝试在 LXC VM 容器上配置 iptables，但每次重启后 iptables 配置都不会自动加载。

我让它工作的唯一方法是运行以下命令：

yum -y 安装 iptables-services； systemctl 禁用防火墙； systemctl 掩码防火墙；服务 iptables 重启；服务 iptables 保存

Answer 2

如果您这样做，并且您使用的是 fail2ban，则需要启用正确的过滤器/操作：

将以下行放入/etc/fail2ban/jail.d/sshd.local

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/secure
maxretry = 5
bantime = 86400

启用并启动fail2ban：

systemctl enable fail2ban
systemctl start fail2ban

参考：http://blog.iopsl.com/fail2ban-on-centos-7-to-protect-ssh-part-ii/

Answer 3

此外，在运行systemctl mask firewalld 命令后，您还应该能够对 ip6tables 执行相同的操作：

    systemctl start ip6tables.service
    systemctl enable ip6tables.service

Answer 4

将IPtables配置放在传统文件中，开机后会加载：

/etc/sysconfig/iptables

Answer 5

在 RHEL 7 / CentOS 7 中，引入了firewalld 来管理 iptables。恕我直言，firewalld 更适合工作站而不是服务器环境。

可以回到更经典的 iptables 设置。首先，停止并屏蔽firewalld服务：

systemctl stop firewalld
systemctl mask firewalld

然后，安装 iptables-services 包：

yum install iptables-services

在启动时启用服务：

systemctl enable iptables

管理服务

systemctl [stop|start|restart] iptables

保存防火墙规则的方法如下：

service iptables save

或

/usr/libexec/iptables/iptables.init save

Answer 6

我修改了/etc/sysconfig/ip6tables-config文件更改：

IP6TABLES_SAVE_ON_STOP="no"

收件人：

IP6TABLES_SAVE_ON_STOP="yes"

还有这个：

IP6TABLES_SAVE_ON_RESTART="no"

收件人：

IP6TABLES_SAVE_ON_RESTART="yes"

这似乎保存了我通过重新启动使用 iptables 命令所做的更改。

Answer 7

试试下面的命令iptables-save。

Answer 8

RHEL and CentOS 7 use firewall-cmd instead of iptables。你应该使用那种命令：

# add ssh port as permanent opened port
firewall-cmd --zone=public --add-port=22/tcp --permanent

然后，您可以重新加载规则以确保一切正常

firewall-cmd --reload

这比使用 iptable-save 更好，尤其是如果您打算使用 lxc 或 docker 容器。启动 docker 服务会添加一些 iptable-save 命令会提示的规则。如果你保存结果，你会有很多不应该保存的规则。因为 docker 容器可以在下次重启时更改它们的 IP 地址。

具有永久选项的防火墙-cmd 更好。

检查“man firewall-cmd”或check the official firewalld docs 以查看选项。有很多选项可以检查区域、配置、工作方式……手册页真的很完整。

我强烈建议从 Centos 7 开始不要使用 iptables-service

Answer 9

我遇到了重启无法启动 iptables 的问题。

这解决了它：

yum install iptables-services
systemctl mask firewalld
systemctl enable iptables
systemctl enable ip6tables
systemctl stop firewalld
systemctl start iptables
systemctl start ip6tables