iptables学习与配置

配置的监控agent经常在防火墙开启时无法与服务端链接,需要去修改iptable规则。以前不是很理解,今天看了两篇文章,开始有进一步理解。

基本概念

iptables
防火墙就是在系统上设置几个关卡来控制网络流量的走向。有些在内核,有些在用户空间。具体为route前,iput,forward、output、准备路由。

iptables和firewalld都是设置规则的工具,可以方便的设置规则有效或无效,达到防火墙开或关的效果。
如果有防火墙规则但iptables由于非正常关闭,设置生效的规则还是会生效。

操作记录

  1. 防火墙禁ping放开

    1
    2
    3
    4
    5
    6
    iptables -L -n --line-number
    #INPUT Chain最后无显式drop,就在末尾添加
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    #INPUT Chain最后有显式drop,就在最后一条添加
    iptables -I INPUT last-id -p icmp --icmp-type echo-request -j ACCEPT
    service iptables save #centos6有效,centos7不需执行。
  2. 开放nrpe 5666端口或zabbix 10050端口

    1
    2
    3
    4
    5
    6
    #centos6
    iptables -I INPUT -p tcp --dport 5666 -j ACCEPT
    service iptables save
    #centos7
    firewall-cmd --zone=public --add-port=5666/tcp --permanent
    firewall-cmd --reload
  3. nrpe报错ssl,需要修改 /etc/xinetd.d/nrpe,添加服务器地址。

后续改善

在模板中添加防火墙允许条目,再关闭防火墙。及时业务需要开启也不会影响监控。

参考文章

http://www.cnblogs.com/losbyday/p/5850435.html?from=singlemessage&isappinstalled=0
http://m.blog.chinaunix.net/uid-26495963-id-3279216.html?from=singlemessage&isappinstalled=0