阻止centos7主动外联？

centos7 及以上版本不再使用 iptables 来管理防火墙规则，默认使用 firewall。

firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -o eth0 -d 192.168.1.25/32 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter OUTPUT 1 -o eth0 -d 192.168.1.28/32 -j DROP

如果以上命令没用效果，你可以执行以下命令清理以上两条命令而不用重启系统：

firewall-cmd --direct --remove-rules ipv4 filter OUTPUT

如果以上命令有效，再添加 --permanent 命令去重新执行，以永久生效：

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o eth0 -d 192.168.1.25/32 -j ACCEPT

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o eth0 -d 192.168.1.28/32 -j DROP

一：定期扫描检查

定期扫描网络主节点，及时查看扫描发现的安全漏洞，对漏洞进行彻底清理。定期维护也是必不可少的，这是对服务器的最好保护，所以定期扫描维护是必要的工作。

二：主动设置防火墙

防火墙说白了就是一个护盾，可以抵御攻击。在发现被攻击时会把攻击导向一些牺牲主机，最后保护了真正的主机不会受到攻击。

三：关闭端口

关闭所以不必要端口，对于登陆密码也可以进行修改，密码设置复杂一点。防止服务器密码泄露造成损失。ip地址限制，不是自己预先设置的IP不能进行登陆。这样可以说是锁上加锁更安全一些。

四：及时修复

发现漏洞必须及时清理，防止攻击者利用漏洞来进行攻击。卸载掉不合规的软件，这些软件有可能携带病毒，让攻击者可以更好得手。可能会被盗取有用数据。

---