|
1. iptablesサービスの状況を確認する まずiptablesサービスの状態を確認しましょう [mw_shl_code=バッシュ、真実][root@woxplife ~]# サービス iptables の状況
iptables: Firewall is not running.[/mw_shl_code] iptablesサービスはインストールされていますが、サービス自体は起動されていません。
もし持っていなければ、直接インストールできます [mw_shl_code=bash、true]yum install -y iptables[/mw_shl_code] スタートiptables [mw_shl_code=バッシュ、真実][root@woxplife ~]# サービスイプテーブルズ開始
iptables: Applying firewall rules: [ OK ][/mw_shl_code] 現在のiptablesの構成を見てみましょう [mw_shl_code=バッシュ、真実][root@woxplife ~]# iptables -L -n[/mw_shl_code] 2. デフォルトのファイアウォールルールをクリアする[mw_shl_code=bash,true]#首先在清除前要将policy INPUTはACCEPTに変更され、すべてのリクエストが受け入れられたことを示します。
#这个一定要先做、そうでなければ空にした後に悲劇になるかもしれません
IPTABLES -P 入力 受け入れ
#清空默认所有规则
iptables -F
#清空自定义的所有规则
iptables -X
#计数器置0
iptables -Z[/mw_shl_code]
3. 構成ルール
[mw_shl_code=バッシュ、本当]#允许来自于lo接口的数据包
#如果没有此规则、127.0.0.1のローカルサービス(例えばping127.0.0.1)にはアクセスできません
iptables -A INPUT -i lo -j ACCEPT
#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#允许icmp包通过、つまりpingを許可するということです
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT、返却パケットを受信しなければならず、これはINPUTに相当します
iptables -A INPUT -m 状態 --state 確立 -j ACCEPT
#如果要添加内网ip信任(すべてのTCPリクエストを受け入れる)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#过滤所有非以上规则的请求
IPTABLES -P 入力ドロップ[/mw_shl_code]
4. 保存まず、iptable(-L -n)を使い、構成が正しいかを確認します。
問題なく、急いでセーブしないでください。なぜなら、セーブしなければ今のところ有効で、再起動後は効果が出ません。問題があれば、バックグラウンドでサーバーに設定の再起動を強制できます。
ログインできるように別のSSH接続を開いてください。 後で必ず保存してください [mw_shl_code=バッシュ、本当]#保存
[root@woxplife ~]# サービスiptablesセーブ
#添加到自启动chkconfig
[root@woxplife ~]# chkconfig iptables on[/mw_shl_code]
| 
掲載地 2014/11/11 23:17:35
|
|
|
