一个人炫耀什么,说明内心缺少什么 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

云主机八部曲之:配置防火墙

环境配置 memory 发布于June 2, 2015 标签: iptables

在linux中配置防火墙是一件比较有风险的事情,尤其是在ECS中,一个不当心的操作,可能就会需要重置服务器
1.更新防火墙软件、检查当前状态

yum update iptables
/etc/init.d/iptables status

1.jpg
上图表示防火墙运行中,使用命令

/etc/init.d/iptables stop
或
service iptables stop

关闭防火墙,确保状态如下图所示:
2.jpg
设置系统服务,禁止iptables自动启动

chkconfig iptables off
chkconfig --list iptables

3.jpg
如上图标示,在所有运行级别上均关闭防火墙自动启动。
如此一来,即使设置出错,至少还可以重启服务器来关闭防火墙。

清除iptables的内置规则和自定义规则

iptabls -F
iptabls -X

2.iptables内置filter、nat和mangle三张表,首先设定默认的通用规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

注意,第一条规则链一定要先添加,否则,当执行完第二条命令后,你的ssh就会断开,之前的设置自然也不会保存。该句的意思是,过滤所有的进入(INPUT)数据,并丢弃(DROP)。

下面的两句类似,OUPUT全部接受,FORWARD丢弃

3.设置filter表规则,如果不使用-T 参数指定表,则默认为filter表

如果要仅允许指定的ip地址接入ssh,则使用

iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

如果是一个网段,上面的192.168.0.3地址,可换为192.168.0.0/24类似的网段地址。

请注意,如果上面设置了OUTPUT的规则也为DROP,则务必也设置对应的规则,允许ssh数据流出

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

添加其他常用规则

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 

设置了如上的基本规则之后,则可以保存配置文件,启动防火墙服务,来测试配置是否成功

/etc/init.d/iptables save
/etc/init.d/iptables restart
/etc/init.d/iptables status

4.总结

4.1.配置防火墙一定要很小心,如果操作不当,可能直接无法远程连接,对于硬件服务器只要去机器面前操作即可,如果是阿里云的,就只能重启或者重置了,一定要当心

4.2.配置防火墙的目的就是为了屏蔽端口,如果全部INPUT都ACCEPT,还不如不设置

4.3.当iptables stop之后,默认修改规则并save后,会覆盖之前的规则,因此可以在iptables运行的时候,修改并保存配置,或者iptables-save > /etc/iptables.rules保存到默认规则中

如果觉得命令麻烦,可以安装如下的组件,使用setup命令配置:

yum install setuptool ntsysv system-config-network system-config-keyboard system-config-network-tui system-config-firewall system-config-firewall-tui

相关推荐

添加新评论

网站状态

  • 栏目分类:49个
  • 发布文章:1557篇
  • 用户评论:847条
  • 开博至今:4406天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字母
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或1个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • memory: 没事儿,这个插件有些问题。我现在已经不使用了。。。
  • 小白: 还有会缓存用户状态给下一位用户!我评论留个记录而已,,,,,
  • 小白: 再次留个记录,不知道为什么缓存页面点击文章或者分类会跳转自己解析...
  • weich: 用数据库那个缓存就正常了!有得用不错了!作者也幸苦了!
  • weich: 有点奇怪,,,哈哈哈哈!原来是那个模板登陆标签被我注释了,所以不...
  • weich: 很强大,就是有个问题登陆了可用看见网页底部模板,不登陆就看不到,...
  • J Zhiguang: valued article for a new learnner.
  • VPS234: 写得不错啊,支持一下,证书现在很多免费的吧
  • 游客: 感谢,我终于明白了markdown原来就是快捷键啊。
  • 楚狂人博客: 感谢博主分享干货
  • 天津网站建设: 写的很棒,感谢博主
  • 醉八虫医用冷敷贴: 支持下博主
  • 有意思吧: 既然来了,就踩一下,
  • 小云: 不错
  • tper: 你列子中按分类归档的图片,每个分类下面显示分类下的文章的代码是怎...
  • 小云: 写的很不错
  • 女装品牌: 文章不错支持一下