雖說阿里雲推出了Apsara Stack Security服務,但是自己再加一層防火牆總歸是更安全些,下面是我在阿里雲vps上配置防火牆的過程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的規則
一、檢查iptables服務狀態
首先檢查iptables服務的狀態
[root@woxplife ~]# service iptables statusiptables: Firewall is not running.
說明iptables服務是有安裝的,但是沒有啟動服務。
如果沒有安裝的話可以直接yum安裝
yum install -y iptables
啟動iptables
[root@woxplife ~]# service iptables startiptables: Applying firewall rules: [ OK ]
看一下當前iptables的配置情況
[root@woxplife ~]# iptables -L -n
二、清除預設的防火牆規則
#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。#這個一定要先做,不然清空後可能會悲劇iptables -P INPUT ACCEPT#清空預設所有規則iptables -F#清空自訂的所有規則iptables -X#計數器置0iptables -Z
三、配置規則
#允許來自於lo介面的資料包#如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping 127.0.0.1iptables -A INPUT -i lo -j ACCEPT #ssh連接埠22iptables -A INPUT -p tcp --dport 22 -j ACCEPT #FTP連接埠21iptables -A INPUT -p tcp --dport 21 -j ACCEPT #web服務連接埠80iptables -A INPUT -p tcp --dport 80 -j ACCEP #tomcatiptables -A INPUT -p tcp --dport xxxx -j ACCEP #mysqliptables -A INPUT -p tcp --dport xxxx -j ACCEP #允許icmp包通過,也就是允許pingiptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許所有對外請求的返回包#本機對外請求相當於OUTPUT,對於返回資料包必須接收啊,這相當於INPUT了iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #如果要添加內網ip信任(接受其所有TCP請求)iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #過濾所有非以上規則的請求iptables -P INPUT DROP
四、儲存
首先iptables -L -n看一下配置是否正確。
沒問題後,先不要急著儲存,因為沒儲存只是當前有效,重啟後就不生效,這樣萬一有什麼問題,可以後台強制重啟伺服器恢複設定。
另外開一個ssh串連,確保可以登陸。
確保沒問題之後儲存
#儲存[root@woxplife ~]# service iptables save #添加到自啟動chkconfig[root@woxplife ~]# chkconfig iptables on
以上就是本文的全部內容,希望對大家的學習有所協助,也希望大家多多支援雲棲社區。