公司最近對網絡安全抓的比較嚴,要求防火牆必須開啟,但是項目的服務器有五六台,三台用於負載均衡,服務器之間必須要進行各種連接,那就只能通過添加白名單的方式。
登上服務器,編輯防火牆配置文件
vi /etc/sysconfig/iptables
把需要訪問本台服務器的其他服務器ip地址,以及本台服務器需要開放的端口號添加上
如下:
# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #這里開始增加白名單服務器ip(請刪除當前服務器的ip地址) -N whitelist -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT -A whitelist -s 192.168.111.xxx -j ACCEPT #這里結束白名單服務器ip -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT //開放1000到8000之間的所有端口 //上面這些 ACCEPT 端口號,公網內網都可以訪問 //下面這些 whitelist 端口號,僅限服務器之間通過內網訪問 #這里添加為白名單ip開放的端口 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist -A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist #這結束為白名單ip開放的端口 -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
編輯完之后,別忘了重啟防火牆
service iptables restart
轉自:http://www.cnblogs.com/yashi/p/7550669.html