Tutorial de configuração do firewall iptables no CentOS da Aliyun

embora a Alibaba Cloud tenha lançado o serviço Cloud Shield, adicionar uma camada adicional de firewall é sempre mais seguro, a seguir está o processo de configuração do firewall que fiz no VPS da Alibaba Cloud, atualmente apenas configurado INPUT. OUTPUT e FORWARD são regras ACEITAR

I, Verificar o Estado do Serviço iptables

primeiro, verifique o estado do serviço iptables

[root@woxplife ~]# service iptables status
iptables: O firewall não está em execução.

o serviço iptables está instalado, mas o serviço não foi iniciado.
se não estiver instalado, você pode instalar diretamente com yum

yum install -y iptables

iniciar iptables

[root@woxplife ~]# service iptables start
iptables: Aplicando regras de firewall:             [ OK ]

veja a configuração atual do iptables

[root@woxplife ~]# iptables -L -n

II, Limpar as Regras Padrão do Firewall

#primeiro, antes de limpar, deve-se alterar policy INPUT para ACCEPT, o que significa aceitar todas as solicitações.
#essa ação deve ser feita primeiro, senão, após limpar, pode haver tragédia
iptables -P INPUT ACCEPT
#limpar todas as regras padrão
iptables -F
#limpar todas as regras personalizadas
iptables -X
#contador definido como 0
iptables -Z

III, Configuração das Regras

#permite pacotes vindo da interface lo
#se não houver essa regra, você não poderá passar127.0.0.1acesso ao serviço local, por exemplo, ping 127.0.0.1
iptables -A INPUT -i lo -j ACEITAR 
#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACEITAR
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACEITAR
#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEP
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# Permite pacotes icmp através, ou seja, permite ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACEITAR
# Permite todos os pacotes de retorno de solicitações externas
# A solicitação externa do computador é equivalente a OUTPUT, para pacotes de dados de retorno, deve ser recebido, o que é equivalente a INPUT
iptables -A INPUT -m state --state ESTABLISHED -j ACEITAR
# Se desejar adicionar IP interno confiável (aceitar todos os pedidos TCP),
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACEITAR
# Filtrar todas as solicitações não acima das regras
iptables -P INPUT DROP

Quarto, salvar
Primeiro iptables -L -Verifique se a configuração está correta.
Não se apresse em salvar, porque, sem salvar, apenas é válido no momento, não se aplica após reiniciar. Dessa forma, em caso de problemas, você pode reiniciar forçadamente o servidor no plano de fundo para restaurar as configurações.
Abra outra conexão ssh para garantir que você possa fazer login.

Certifique-se de que está tudo bem antes de salvar

# Salvar
[root@woxplife ~]# service iptables save
# Adicionar ao iniciar automaticamente chkconfig
[root@woxplife ~]# chkconfig iptables on

Isso é tudo o que há no artigo, esperamos que ajude na sua aprendizagem e que você apóie o tutorial Yell.

Declaração: o conteúdo deste artigo é de origem na internet, pertence ao respectivo proprietário, foi contribuído e carregado voluntariamente pelos usuários da internet, o site não possui direitos de propriedade, não foi editado manualmente e não assume responsabilidades legais relacionadas. Se você encontrar conteúdo suspeito de infringência de direitos autorais, por favor, envie e-mail para: notice#oldtoolbag.com (ao enviar e-mail, substitua # por @) para denunciar, forneça provas relacionadas e, uma vez confirmado, o site deletará imediatamente o conteúdo suspeito de infringência.