iptables

dnf -y install iptables

 

vi /etc/sysconfig/iptables

 

-A INPUT -p icmp -j accept

-A INPUT -i lo -j accept

-A INPUT -p tcp -m state  - - state NEW/ESTABLISHED/RELATED -m tcp --dport 22 -j ACCEPT

 -A INPUT -p tcp -m state  - - state NEW/ESTABLISHED/RELATED -m tcp --dport 21:100 -j ACCEPT
 
 FTP 포트의 경우 21번 제어포트 설정 필요 /// 21번부터 100번까지

-A INPUT -p tcp  -m state  --state NEW/ESTABLISHED/RELATED -m tcp  -s 192.168.10.202 0/24  --dport 80 -j DROP  차단 시 허용까지 필요

-A INPUT -p tcp -m state  --state NEW/ESTABLISHED/RELATED -m tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT —reject-with icmp-host-prohibited

INPUT 체인에서 모든 연결을 거부하고, 
거부 응답으로 icmp-host-prohibited 메시지를 보냅니다. 

이 메시지는 "이 호스트로의 연결이 거부되었음을 알리는" ICMP 응답입니다.

-A FORWARD -j REJECT —reject-with icmp-host-prohibited

FORWARD 체인에서 모든 트래픽을 거부하고, 
거부 응답으로 icmp-host-prohibited 메시지를 보냅니다. 

FORWARD 체인은 패킷이 시스템을 지나가도록 하는 규칙이기 때문에, 
패킷이 다른 네트워크로 전달되는 것을 차단하는 규칙입니다.

--rreject-with icmp-port-unreachable
--reject-with tcp-reset

COMMIT //// save