centos 6/7 防火牆端口管理與限制來訪IP請求端口

centos 6 
vi /etc/sysconfig/iptables        # 防火牆配置檔案
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
# 添加防火牆樣本：開放22 和80 端口
service iptables restart            # 重新開機防火牆
netstat -ntlp                    # 檢視正在運作的端口
service httpd restart            # 重新開機 httpd 服務
centos 7 
yum list | grep firewall                    # 查找安裝包
yum install  -y firewalld
firewall-cmd --state                    #  檢視防火牆是否運作
firewall-cmd --query-port=8080/tcp        #  先檢視端口是否開放
                                    #  firewall    [ˈfaɪəwɔːl]  防火牆
firewall-cmd --permanent --add-port=8022/tcp
                                    # 開放端口8022
                                    # permanent    [ˈpɜːmənənt]  永久的
                                    # 不加此參數重新開機會失效
firewall-cmd --permanent --remove-port=8080/tcp
                                    # 移除端口
firewall-cmd --zone=public --add-port=4400-4600/udp --permanent
firewall-cmd --zone=public --add-port=4400-4600/tcp --permanent
                                    # 添加端口範圍udp；tcp 類型
firewall-cmd --zone=public --list-ports        # 檢視開啟的端口，端口清單
netstat -ntlp                            # 檢視正在運作的端口
firewall-cmd --reload                    # 重新開機防火牆
systemctl stop firewalld                    # 禁用防火牆
systemctl enable firewalld                # enable 開機自動啟動
                                    # disable禁止開機啟動
#######################    限制來訪ip端口   ################################
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" reject"
                    # 限制IP通路80端口；firewall [ˈfaɪrwɑl] 防火牆；
                    # permannet [ˈpɜrmənənt] 永久， p man ent;  rith [rɪʧ] 豐富； rule [rul] 規則；永久添加豐富規則
                    # family  [ˈfæməli] 家族；家族規則；source [sɔrs] 來源； prot [pɔrt] 端口; protocol [ˈproᴜtəˌkɑl] 規則；reject [ˈriʤɛkt] 拒絕
                    # --add-rich-rule= 防火牆加入一段字元串： 
                    # address="10.0.0.0/24"  其中 /24 是限制整段IP 
firewall-cmd --reload    # 重載配置，生效
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.200" port protocol="tcp" port="80" accept"
                            # 解除IP禁止通路端口
firewall-cmd --reload            # 重載配置，生效
firewall-cmd --zone=public --list-ports
                            # 檢視記錄
vi /etc/firewalld/zones/public.xml    # 規則記錄檔案管理
# --add-rich-rule= 防火牆加入一段字元串，産生如下資訊：
  <rule family="ipv4">
    <source address="180.76.164.15"/>
    <port protocol="tcp" port="22"/>          # 禁止22端口
    <reject/>                    # reject  [ˈriʤɛkt] 禁止
  </rule>                        # 目前是5行為一個規則
iptables 端口管理  
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    # 添加進端口
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT    # 添加出端口
iptables -L -n     --line-numbers                # 檢視已有規則并顯示編号
iptables -D INPUT 2                        # 删除編号為2進規則
                                        # OUTPUT 出規則
service iptables status                        # 檢視狀态
systemctl start iptables.service                 #啟動防火牆
systemctl enable iptables.service                 #設定開機自啟動
systemctl stop iptables.service                 #關閉防火牆
systemctl disable iptables.service                #禁止開機啟動
iptables -F
iptables -X
iptables -Z        # 清除防護牆
iptables -I INPUT -s 180.76.164.15 -p TCP --dport 22 -j DROP
                                        # 禁止此ip通路22端口