工作站防火牆管理

Table of contents

背景
預備動作
- 裝置iptables及iptables-service
啟動與設置iptables
- 所有輸入都允許
- 允許特定port
Reference

背景

正常安裝好的CENTOS 7是自帶、並自行啟動firewalld服務的，firewalld具備了較為完整、可以完全對外的防火功能。
因工作站在公司內部、公司已有完善的防火牆、且防火牆會限制工作站間的連繫(mpirun)，因此可以、也必須將其關閉。
工作站防火牆並不屬於一般OS會動到的範圍，因為平行運作需要，因此將其放在此處說明。
作業目標
- 停用firewalld，以iptables-service取代
- iptables設定

預備動作

裝置iptables及iptables-service

OS內設是有iptables程式的，但沒有iptables-service，一樣不能作動
- yum install iptables-services
停止firewalld服務
- systemctl stop firewalld
禁用firewalld服務，避免系統自行啟動造成干擾。
- systemctl mask firewalld
檢視iptables現有規則
- iptables -L -n

啟動與設置iptables

所有輸入都允許

設定防火牆開機啟動：systemctl enable iptables.service
允許所有輸入：iptables -P INPUT ACCEPT
- 其他詳細的iptables設定，也可以參考阿新這篇。
- 不過目前保持全開、讓工作站之間保持完全暢通是對mpirun最有利的方案。
將規則列在最前面 sudo iptables -I INPUT -p all -j ACCEPT
記得要save and restart

允許特定port

新增规则：允许所有ip能访问本机的65005端口

复制代码
# 新增规则（-I表示插入在链的第一位置，-A 表示追加到链的末尾位置，防火墙规则是从上往下读取）
[root@data ~]# iptables -I INPUT -p tcp --dport 65005 -j ACCEPT

# 保存规则到默认文件/etc/sysconfig/iptables

[root@data ~]# service iptables save
# 重启
[root@data ~]# service iptables restart

Reference

G. T. Wang, CentOS Linux 7 以 firewalld 指令設定防火牆規則教學, 2017/12/26
程式人生-阿新, CentOS7安裝iptables防火牆（禁用/停止自帶的firewalld服務）, 2019-01-28
mtchang’s blog-巴克里, 關閉 centos7 防火牆 firewalld 改用傳統的 iptables, 2015/09/26