雖說阿里雲推出了雲盾服務,但是自己再加一層防火牆總歸是更安全些,下面是我在阿里雲vps上配置防火牆的過程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的規則
一、檢查iptables服務狀態
首先檢查iptables服務的狀態
[root@woxplife ~]# service iptables status
iptables: Firewall is not running.
說明iptables服務是有安裝的,但是沒有啟動服務。
如果沒有安裝的話可以直接yum安裝
yum install -y iptables
啟動iptables
[root@woxplife ~]# service iptables start
iptables: Applying firewall rules: [ OK ]
看一下當前iptables的配置情況
[root@woxplife ~]# iptables -L -n
二、清除默認的防火牆規則
#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。 #這個一定要先做,不然清空后可能會悲劇 iptables -P INPUT ACCEPT #清空默認所有規則 iptables -F #清空自定義的所有規則 iptables -X #計數器置0 iptables -Z
三、配置規則
#允許來自於lo接口的數據包 #如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping 127.0.0.1 iptables -A INPUT -i lo -j ACCEPT #ssh端口22 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #FTP端口21 iptables -A INPUT -p tcp --dport 21 -j ACCEPT #web服務端口80 iptables -A INPUT -p tcp --dport 80 -j ACCEP #tomcat iptables -A INPUT -p tcp --dport xxxx -j ACCEP #mysql iptables -A INPUT -p tcp --dport xxxx -j ACCEP #允許icmp包通過,也就是允許ping iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許所有對外請求的返回包 #本機對外請求相當於OUTPUT,對於返回數據包必須接收啊,這相當於INPUT了 iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #如果要添加內網ip信任(接受其所有TCP請求) iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #過濾所有非以上規則的請求 iptables -P INPUT DROP
四、保存
首先iptables -L -n看一下配置是否正確。
沒問題后,先不要急着保存,因為沒保存只是當前有效,重啟后就不生效,這樣萬一有什么問題,可以后台強制重啟服務器恢復設置。
另外開一個ssh連接,確保可以登陸。
確保沒問題之后保存
#保存 [root@woxplife ~]# service iptables save #添加到自啟動chkconfig [root@woxplife ~]# chkconfig iptables on