CentOS 7でiptablesを使用するにはどうすればよいですか？[閉まっている]

CentOS 7を最小限の構成（OS +開発ツール）でインストールしました。httpdサービス用に80ポートを開こうとしていますが、iptablesサービスに何か問題があります...何が問題になっていますか？何が悪いのですか？

# ifconfig/sbin/service iptables save
bash: ifconfig/sbin/service: No such file or directory


# /sbin/service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

# sudo service iptables status
Redirecting to /bin/systemctl status  iptables.service
iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)

# /sbin/service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

# sudo service iptables start
Redirecting to /bin/systemctl start  iptables.service
Failed to issue method call: Unit iptables.service failed to load: No such file or directory.

RHEL 7 / CentOS 7では、iptablesを管理するためにfirewalldが導入されました。IMHO、firewalldはサーバー環境よりもワークステーションに適しています。

より古典的なiptables設定に戻ることが可能です。まず、firewalldサービスを停止してマスクします。

systemctl stop firewalld
systemctl mask firewalld

次に、iptables-servicesパッケージをインストールします。

yum install iptables-services

起動時にサービスを有効にします。

systemctl enable iptables

サービスの管理

systemctl [stop|start|restart] iptables

ファイアウォールルールを保存するには、次の手順を実行します。

service iptables save

または

/usr/libexec/iptables/iptables.init save

RHELとCentOS 7はiptablesの代わりにfirewall-cmdを使用します。次のようなコマンドを使用する必要があります。

# add ssh port as permanent opened port
firewall-cmd --zone=public --add-port=22/tcp --permanent

次に、ルールを再読み込みして、すべてが正常であることを確認します

firewall-cmd --reload

lxcまたはdockerコンテナーを使用する場合は、iptable-saveを使用するよりも、特別に使用する方が適切です。Dockerサービスを起動すると、iptable-saveコマンドがプロンプトするいくつかのルールが追加されます。結果を保存すると、保存してはならないルールがたくさんあります。Dockerコンテナは次回の再起動時にIPアドレスを変更できるためです。

そのためには、永久オプション付きのファイアウォールコマンドが適しています。

「man firewall-cmd」をチェックするか、公式のfirewalldドキュメントをチェックしてオプションを確認してください。ゾーン、設定、動作方法をチェックするオプションはたくさんあります... manページは本当に完全です。

Centos 7以降、iptables-serviceを使用しないことを強くお勧めします

再起動してもiptablesが起動しないという問題がありました。

これはそれを修正しました：

yum install iptables-services
systemctl mask firewalld
systemctl enable iptables
systemctl enable ip6tables
systemctl stop firewalld
systemctl start iptables
systemctl start ip6tables

次のコマンドを試してくださいiptables-save。

私は/etc/sysconfig/ip6tables-configファイルを変更して変更しました：

IP6TABLES_SAVE_ON_STOP="no"

に：

IP6TABLES_SAVE_ON_STOP="yes"

この：

IP6TABLES_SAVE_ON_RESTART="no"

に：

IP6TABLES_SAVE_ON_RESTART="yes"

これにより、再起動によってiptablesコマンドを使用して行った変更が保存されたようです。

IPtablesの設定を従来のファイルに入れれば、ブート後にロードされます：

/ etc / sysconfig / iptables

先月、LXC VMコンテナーでiptablesを構成しようとしましたが、再起動後に毎回iptables構成が自動的にロードされませんでした。

私がそれを機能させる唯一の方法は、次のコマンドを実行することでした：

yum -y install iptables-services; systemctl disable firewalld; systemctlマスクfirewalld; service iptables restart; サービスiptables保存

さらに、systemctl mask firewalldコマンドを実行した後、ip6tablesに対しても同じことができるはずです。

    systemctl start ip6tables.service
    systemctl enable ip6tables.service

その場合、fail2banを使用している場合は、適切なフィルター/アクションを有効にする必要があります。

次の行を入れます /etc/fail2ban/jail.d/sshd.local

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/secure
maxretry = 5
bantime = 86400

fail2banを有効にして開始します。

systemctl enable fail2ban
systemctl start fail2ban

リファレンス：http : //blog.iopsl.com/fail2ban-on-centos-7-to-protect-ssh-part-ii/