See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Muud tehnoloogiad Windows/Linux Alibaba Cloud Centos configure iptables firewall
Vaade: 13709|Vastuse: 0

[linux] Alibaba Cloud Centos configure iptables firewall

[Kopeeri link]
Postitatud 03.11.2014 15:41:54 | | |

Kuigi Alibaba Cloud on käivitanud Cloud Shield teenuse, on alati turvalisem lisada veel üks tulemüüri kiht; järgnevalt on tulemüüri seadistamise protsess Alibaba Cloud VPS-is, praegu on seadistatud ainult INPUT. OUTPUT ja FORWORD on mõlemad reeglid ACCEPT-i jaoks

1. Kontrolli iptables teenuse staatust

Alusta iptables teenuse staatuse kontrollimisest

  1. [root@woxplife ~]# service iptables status
  2. iptables: Firewall is not running.
Kopeeri kood

Iptables teenus on paigaldatud, kuid teenust ei käivitata.
Kui sul seda pole, saad selle otse paigaldada

  1. yum install -y iptables
Kopeeri kood

Alusta iptablesi

  1. [root@woxplife ~]# service iptables start
  2. iptables: Applying firewall rules:                         [  OK  ]
Kopeeri kood

Vaata iptable'i praegust konfiguratsiooni

  1. [root@woxplife ~]# iptables -L -n
Kopeeri kood
2. Tühjenda vaikimisi tulemüüri reeglid
  1. #首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
  2. #这个一定要先做,不然清空后可能会悲剧
  3. iptables -P INPUT ACCEPT

  5. #清空默认所有规则
  6. iptables -F

  8. #清空自定义的所有规则
  9. iptables -X

  11. #计数器置0
  12. iptables -Z
Kopeeri kood
3. Konfiguratsioonireeglid
  1. #允许来自于lo接口的数据包
  2. #如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
  3. iptables -A INPUT -i lo -j ACCEPT

  5. #ssh端口22
  6. iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  8. #FTP端口21
  9. iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  11. #web服务端口80
  12. iptables -A INPUT -p tcp --dport 80 -j ACCEP

  14. #tomcat
  15. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  17. #mysql
  18. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  20. #允许icmp包通过,也就是允许ping
  21. iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

  23. #允许所有对外请求的返回包
  24. #本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
  25. iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

  27. #如果要添加内网ip信任(接受其所有TCP请求)
  28. iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

  30. #过滤所有非以上规则的请求
  31. iptables -P INPUT DROP
Kopeeri kood
4. Säilitamine

Esiteks iptable'id -L -n, et kontrollida, kas konfiguratsioon on õige.
Ilma probleemideta ära kiirusta salvestama, sest kui sa ei salvesta, kehtib see praegu ja pärast taaskäivitamist ei avaldu, nii et kui tekib mingi probleem, saad sundida serverit taustal seadeid taaskäivitama.
Ava teine SSH ühendus, et olla kindel, et saad sisse logida.

Kindlasti salvesta see hiljem

  1. #保存
  2. [root@woxplife ~]# service iptables save

  4. #添加到自启动chkconfig
  5. [root@woxplife ~]# chkconfig iptables on
Kopeeri kood







Eelmine:DIY mahjong, sa väärid seda!
Järgmine:Linuxi veebiserver, tulemüür iptables on kõige lihtsam konfiguratsioon

Seotud postitused
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com