Ця стаття є дзеркальною статтею машинного перекладу, будь ласка, натисніть тут, щоб перейти до оригінальної статті.

Architect_Programmer_Code Сільськогосподарська мережа»Архітектор Інші технології Windows/Linux Centos налаштовує міжмережевий екран iptables
Вид: 12160|Відповідь: 0

[linux] Centos налаштовує міжмережевий екран iptables

[Копіювати посилання]
Опубліковано 11.11.2014 23:17:35 | | |
1. Перевірте статус сервісу iptables

Почніть з перевірки статусу сервісу iptables

[mw_shl_code=bash, правда] [root@woxplife ~]# service iptables status
iptables: Firewall is not running.[/mw_shl_code]

Сервіс iptables встановлено, але сервіс не запускається.
Якщо його немає, можна встановити безпосередньо

[mw_shl_code=bash,true]yum install -y iptables[/mw_shl_code]

Почати iptables

[mw_shl_code=bash, правда] [root@woxplife ~]# сервіс iptables start
iptables: Applying firewall rules:                         [  OK  ][/mw_shl_code]

Погляньте на поточну конфігурацію iptables

[mw_shl_code=bash, правда] [root@woxplife ~]# iptables -L -n[/mw_shl_code]

2. Очистіть стандартні правила міжмережевого екрану[mw_shl_code=bash,true]#首先在清除前要将policy INPUT змінюється на ACCEPT, що означає, що всі запити прийняті.
#这个一定要先做, інакше після спорожнення може бути трагічно
iptables -P INPUT ACCEPT

#清空默认所有规则
iptables -F

#清空自定义的所有规则
iptables -X

#计数器置0
iptables -Z[/mw_shl_code]
3. Правила конфігурації
[mw_shl_code=bash, правда]#允许来自于lo接口的数据包
#如果没有此规则 ви не зможете отримати доступ до місцевих сервісів через 127.0.0.1, таких як ping 127.0.0.1
iptables -A INPUT -i lo -j ПРИЙНЯТИ

#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ПРИЙНЯТИ

#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ПРИЙНЯТИ

#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ПРИЙНЯТИ

#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ПРИЙНЯТИ

#mysql
iptables -A INPUT -p tcp --dport xxxx -j ПРИЙНЯТИ

#允许icmp包通过, тобто дозволити пінг
iptables -A INPUT -p icmp -m icmp --icmp-тип 8 -j ПРИЙНЯТИ

#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT має бути отриманий повернений пакет, що еквівалентно INPUT
iptables -A INPUT -m стан --стан ESTABLISHED -j ACCEPT

#如果要添加内网ip信任 (приймати всі його TCP-запити)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ПРИЙНЯТИ

#过滤所有非以上规则的请求
iptables -P INPUT DROP[/mw_shl_code]
4. Збереження

Спочатку iptables -L -n, щоб перевірити, чи конфігурація правильна.
Після відсутності проблем не поспішайте зберігатися, бо якщо не збережетеся, це дійсно лише наразі і не спрацює після перезавантаження, тож у разі проблеми можна змусити сервер перезапустити налаштування у фоновому режимі.
Відкрийте ще одне SSH-з'єднання, щоб упевнитися, що можете увійти.

Обов'язково збережи пізніше

[mw_shl_code=bash, правда]#保存
[root@woxplife ~]# збереження сервісу iptables

#添加到自启动chkconfig
[root@woxplife ~]# chkconfig iptables on[/mw_shl_code]








Попередній:Пакет інсталяції Alibaba Cloud Web Environment One-Click 1.4.0, включаючи nginx, apache, php, mySQL тощо
Наступний:Taobao Double Eleven — 35 мільярдів у 2013 році та 60 мільярдів у 2014 році: чотири основні види зброї

Пов'язані дописи
Застереження:
Усе програмне забезпечення, програмні матеріали або статті, опубліковані Code Farmer Network, призначені лише для навчання та досліджень; Вищезазначений контент не повинен використовуватися в комерційних чи незаконних цілях, інакше користувачі несуть усі наслідки. Інформація на цьому сайті надходить з Інтернету, і спори щодо авторських прав не мають до цього сайту. Ви повинні повністю видалити вищезазначений контент зі свого комп'ютера протягом 24 годин після завантаження. Якщо вам подобається програма, будь ласка, підтримуйте справжнє програмне забезпечення, купуйте реєстрацію та отримайте кращі справжні послуги. Якщо є будь-яке порушення, будь ласка, зв'яжіться з нами електронною поштою.
Mail To:help@itsvse.com