Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Kitos technologijos "Windows" / "Linux" "Alibaba Cloud Centos" sukonfigūruoja "iptables" ugniasienę
Rodinys: 13709|Atsakyti: 0

[Linux] "Alibaba Cloud Centos" sukonfigūruoja "iptables" ugniasienę

[Kopijuoti nuorodą]
Paskelbta 2014-11-03 15:41:54 | | |

Nors "Alibaba Cloud" pristatė "Cloud Shield" paslaugą, visada saugiau pridėti dar vieną ugniasienės sluoksnį, toliau pateikiamas "Alibaba Cloud VPS" ugniasienės konfigūravimo procesas, šiuo metu sukonfigūruota tik INPUT. OUTPUT ir FORWORD yra ACCEPT taisyklės

1. Patikrinkite "iptables" paslaugos būseną

Pradėkite patikrindami "iptables" paslaugos būseną

  1. [root@woxplife ~]# service iptables status
  2. iptables: Firewall is not running.
Kopijuoti kodą

"iptables" paslauga įdiegta, bet paslauga nepaleidžiama.
Jei jo neturite, galite jį įdiegti tiesiogiai

  1. yum install -y iptables
Kopijuoti kodą

Pradėti iptables

  1. [root@woxplife ~]# service iptables start
  2. iptables: Applying firewall rules:                         [  OK  ]
Kopijuoti kodą

Pažvelkite į dabartinę "iptables" konfigūraciją

  1. [root@woxplife ~]# iptables -L -n
Kopijuoti kodą
2. Išvalykite numatytąsias ugniasienės taisykles
  1. #首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
  2. #这个一定要先做,不然清空后可能会悲剧
  3. iptables -P INPUT ACCEPT

  5. #清空默认所有规则
  6. iptables -F

  8. #清空自定义的所有规则
  9. iptables -X

  11. #计数器置0
  12. iptables -Z
Kopijuoti kodą
3. Konfigūracijos taisyklės
  1. #允许来自于lo接口的数据包
  2. #如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
  3. iptables -A INPUT -i lo -j ACCEPT

  5. #ssh端口22
  6. iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  8. #FTP端口21
  9. iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  11. #web服务端口80
  12. iptables -A INPUT -p tcp --dport 80 -j ACCEP

  14. #tomcat
  15. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  17. #mysql
  18. iptables -A INPUT -p tcp --dport xxxx -j ACCEP

  20. #允许icmp包通过,也就是允许ping
  21. iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

  23. #允许所有对外请求的返回包
  24. #本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
  25. iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

  27. #如果要添加内网ip信任(接受其所有TCP请求)
  28. iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

  30. #过滤所有非以上规则的请求
  31. iptables -P INPUT DROP
Kopijuoti kodą
4. Išsaugojimas

Pirma, iptables -L -n, kad pamatytumėte, ar konfigūracija teisinga.
Po jokių problemų neskubėkite išsaugoti, nes jei neišsaugosite, jis galioja tik kol kas, o paleidus iš naujo jis neįsigalios, kad iškilus kokiai nors problemai galėtumėte priversti serverį iš naujo paleisti nustatymus fone.
Atidarykite kitą SSH ryšį, kad įsitikintumėte, jog galite prisijungti.

Būtinai išsaugokite jį vėliau

  1. #保存
  2. [root@woxplife ~]# service iptables save

  4. #添加到自启动chkconfig
  5. [root@woxplife ~]# chkconfig iptables on
Kopijuoti kodą







Ankstesnis:"Pasidaryk pats" mažongas, tu to nusipelnei!
Kitą:Linux žiniatinklio serveris, ugniasienės iptables yra paprasčiausia konfigūracija

Susijusios žinutės
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com