Linux伺服器防火牆白名單設定，linux伺服器防火牆

Linux伺服器防火牆白名單設定，linux伺服器防火牆

Linux伺服器防火牆白名單設定

　　公司最近對網路安全抓的比較嚴，要求防火牆必須開啟，但是項目的伺服器有五六台，三台用於負載平衡，伺服器之間必須要進行各種串連，那就只能通過添加白名單的方式。

　　登上伺服器，編輯防火牆設定檔

　　vi /etc/sysconfig/iptables

　　把需要訪問本台伺服器的其他伺服器ip地址，以及本台伺服器需要開放的連接埠號碼添加上

　　如下：

# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]#這裡開始增加白名單伺服器ip(請刪除當前伺服器的ip地址)-N whitelist-A whitelist -s 192.168.111.xxx -j ACCEPT-A whitelist -s 192.168.111.xxx -j ACCEPT-A whitelist -s 192.168.111.xxx -j ACCEPT-A whitelist -s 192.168.111.xxx -j ACCEPT-A whitelist -s 192.168.111.xxx -j ACCEPT#這裡結束白名單伺服器ip-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT  //開發1000到8000之間的所有連接埠//上面這些 ACCEPT 連接埠號碼，公網內網都可以訪問//下面這些 whitelist 連接埠號碼，僅限伺服器之間通過內網訪問#這裡添加為白名單ip開放的連接埠-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist-A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist#這結束為白名單ip開放的連接埠-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT

　　編輯完之後，別忘了重啟防火牆

　　service iptables restart