雖說阿里云推出了云盾服務,但是自己再加一層防火墻總歸是更安全些,下面是我在阿里云vps上配置防火墻的過程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的規則
一、檢查iptables服務狀態
首先檢查iptables服務的狀態
[root@woxplife ~]# service iptables statusiptables: Firewall is not running.
說明iptables服務是有安裝的,但是沒有啟動服務。
如果沒有安裝的話可以直接yum安裝yum install -y iptables
啟動iptables
[root@woxplife ~]# service iptables startiptables: Applying firewall rules: [ OK ]
看一下當前iptables的配置情況
[root@woxplife ~]# iptables -L -n
二、清除默認的防火墻規則
#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。#這個一定要先做,不然清空后可能會悲劇iptables -P INPUT ACCEPT#清空默認所有規則iptables -F#清空自定義的所有規則iptables -X#計數器置0iptables -Z
三、配置規則
#允許來自于lo接口的數據包#如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping 127.0.0.1iptables -A INPUT -i lo -j ACCEPT #ssh端口22iptables -A INPUT -p tcp --dport 22 -j ACCEPT #FTP端口21iptables -A INPUT -p tcp --dport 21 -j ACCEPT #web服務端口80iptables -A INPUT -p tcp --dport 80 -j ACCEP #tomcatiptables -A INPUT -p tcp --dport xxxx -j ACCEP #mysqliptables -A INPUT -p tcp --dport xxxx -j ACCEP #允許icmp包通過,也就是允許pingiptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許所有對外請求的返回包#本機對外請求相當于OUTPUT,對于返回數據包必須接收啊,這相當于INPUT了iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #如果要添加內網ip信任(接受其所有TCP請求)iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #過濾所有非以上規則的請求iptables -P INPUT DROP
四、保存首先iptables -L -n看一下配置是否正確。
沒問題后,先不要急著保存,因為沒保存只是當前有效,重啟后就不生效,這樣萬一有什么問題,可以后臺強制重啟服務器恢復設置。另外開一個ssh連接,確保可以登陸。確保沒問題之后保存
#保存[root@woxplife ~]# service iptables save #添加到自啟動chkconfig[root@woxplife ~]# chkconfig iptables on
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
新聞熱點
疑難解答
