Tutorial de configuración de firewall iptables en阿里云Centos

aunque AliCloud lanzó el servicio Cloud Shield, agregar una capa adicional de firewall siempre es más seguro, a continuación se muestra el proceso de configuración del firewall en el VPS de AliCloud, por ahora solo se han configurado las reglas de INPUT. OUTPUT y FORWARDED son reglas de ACCEPT

Uno, verificar el estado del servicio iptables

primero, verifica el estado del servicio iptables

[root@woxplife ~]# service iptables status
iptables: El firewall no está ejecutándose.

explicación: el servicio iptables está instalado, pero no se ha iniciado el servicio.
si no se ha instalado, puedes instalarlo directamente con yum

yum install -y iptables

iniciar iptables

[root@woxplife ~]# service iptables start
iptables: Aplicando reglas de firewall:             [ OK ]

mira la configuración actual de iptables

[root@woxplife ~]# iptables -L -n

Dos, limpiar las reglas de firewall predeterminadas

#primero, antes de limpiar, cambiar policy INPUT a ACCEPT, lo que significa aceptar todas las solicitudes.
#esto debe hacerse primero, de lo contrario, después de limpiar puede ser desastroso
iptables -P INPUT ACCEPT
#limpiar todas las reglas predeterminadas
iptables -F
#limpiar todas las reglas personalizadas
iptables -X
#contador a 0
iptables -Z

Tres, configuración de reglas

#permite paquetes provenientes de la interfaz lo
#si no hay esta regla, no podrás pasar127.0.0.1acceso a servicios locales, por ejemplo ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT 
#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEP
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# Permitir paquetes icmp a través, es decir, permitir ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Permitir todos los paquetes de retorno de solicitudes externas
# La solicitud externa de esta máquina es equivalente a OUTPUT, para los paquetes de datos de retorno debe recibirlos, lo que es equivalente a INPUT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Si desea agregar la dirección IP de la intranet para la confianza (aceptar todas las solicitudes TCP de la misma)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
# Filtrar todas las solicitudes que no sean las reglas anteriores
iptables -P INPUT DROP

Cuatro, guardar
Primero iptables -L -Vea si la configuración es correcta.
No se apresure a guardar después de que esté bien, porque solo es efectivo en el momento actual, no tendrá efecto después de reiniciar. De esta manera, si hay algún problema, puede reiniciar el servidor en segundo plano para restaurar la configuración.
Abra otra conexión ssh para asegurarse de que pueda ingresar.

Asegúrese de que todo esté bien antes de guardar

# Guardar
[root@woxplife ~]# service iptables save
# Añadir a la autoarranque chkconfig
[root@woxplife ~]# chkconfig iptables on

Esto es todo el contenido de este artículo, espero que ayude a su aprendizaje y que todos apoyen a la tutorial de alarido.

Declaración: el contenido de este artículo se obtiene de la red, es propiedad del autor original, el contenido se contribuye y se carga por los usuarios de Internet de manera autónoma. Este sitio no posee los derechos de propiedad, no ha sido editado por humanos y no asume ninguna responsabilidad legal relacionada. Si encuentra contenido sospechoso de copyright, por favor envíe un correo electrónico a: notice#oldtoolbag.com (al enviar un correo electrónico, por favor reemplace # con @) para denunciar, y proporcione evidencia relevante. Una vez confirmado, este sitio eliminará inmediatamente el contenido sospechoso de infracción.