雖說阿里雲推出了雲盾服務,但是自己再加一層防火牆總歸是更安全些,下面是我在阿里雲vps上配置防火牆的過程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的規則
一、檢查iptables服務狀態
首先檢查iptables服務的狀態
[root@woxplife ~]# service iptables status iptables: Firewall is not running.
說明iptables服務是有安裝的,但是沒有啟動服務。
如果沒有安裝的話可以直接yum安裝
yum install -y iptables
啟動iptables
[root@woxplife ~]# service iptables start iptables: Applying firewall rules: [ OK ]
看一下當前iptables的配置情況
[root@woxplife ~]# iptables -L -n
二、清除預設的防火牆規則
#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。 #這個一定要先做,不然清空後可能會悲劇 iptables -P INPUT ACCEPT #清空預設所有規則 iptables -F #清空自定義的所有規則 iptables -X #計數器置0 iptables -Z
三、配置規則
#允許來自於lo介面的資料包 #如果沒有此規則,你將不能通過127.0.0.1訪問本地服務,例如ping 127.0.0.1 iptables -A INPUT -i lo -j ACCEPT #ssh埠22 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #FTP埠21 iptables -A INPUT -p tcp --dport 21 -j ACCEPT #web服務埠80 iptables -A INPUT -p tcp --dport 80 -j ACCEP #tomcat iptables -A INPUT -p tcp --dport xxxx -j ACCEP #mysql iptables -A INPUT -p tcp --dport xxxx -j ACCEP #允許icmp包通過,也就是允許ping iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許所有對外請求的返回包 #本機對外請求相當於OUTPUT,對於返回資料包必須接收啊,這相當於INPUT了 iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #如果要新增內網ip信任(接受其所有TCP請求) iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #過濾所有非以上規則的請求 iptables -P INPUT DROP
四、儲存
首先iptables -L -n看一下配置是否正確。
沒問題後,先不要急著儲存,因為沒儲存只是當前有效,重啟後就不生效,這樣萬一有什麼問題,可以後臺強制重啟伺服器恢復設定。
另外開一個ssh連線,確保可以登陸。
確保沒問題之後儲存
#儲存 [root@woxplife ~]# service iptables save #新增到自啟動chkconfig [root@woxplife ~]# chkconfig iptables on