阿里云服务器linux配置iptables(1)
2014-05-06 17:22
381 查看
尽管阿里云有云盾这样的对云服务器的安全监控保护,但是就如房子在相对安全的小区,关门总比不关门更安全吧。下面我们就开始配置阿里云服务器的iptables,为你的云服务器linux系统加上一道安全门。如果你对iptables基础知识不了解,请查看【IPTABLES】。
阿里云服务器的iptables服务默认是未开启的:
[root@AY12072 ~]# service iptables status
Firewall is stopped.
开始配置
(1)查看本机关于IPTABLES的设置情况
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp — 0.0.0.0/0 0.0.0.0/0
ACCEPT ah — 0.0.0.0/0 0.0.0.0/0
ACCEPT udp — 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@AY12072 ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@AY12072 ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@AY12072 ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@AY12072 ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@AY12072 ~]# service iptables stop
[root@AY12072 ~]# iptables -p INPUT DROP
[root@AY12072 ~]# iptables -p OUTPUT ACCEPT
[root@AY12072 ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,如果不把iptables服务停止掉,当你输入iptables -p INPUT DROP回车的时候就应该SSH连接断了。因为你没有设置任何规则。怎么办?除了本机操作只有重启了!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@AY12072 ~]# iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器
阿里云服务器的iptables服务默认是未开启的:
[root@AY12072 ~]# service iptables status
Firewall is stopped.
开始配置
一、配置filter表的防火墙
(1)查看本机关于IPTABLES的设置情况[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp — 0.0.0.0/0 0.0.0.0/0
ACCEPT ah — 0.0.0.0/0 0.0.0.0/0
ACCEPT udp — 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么规则都没有.
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@AY12072 ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@AY12072 ~]# iptables -X 清除预设表filter中使用者自定链中的规则
我们在来看一下
[root@AY12072 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@AY12072 ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@AY12072 ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@AY12072 ~]# service iptables stop
[root@AY12072 ~]# iptables -p INPUT DROP
[root@AY12072 ~]# iptables -p OUTPUT ACCEPT
[root@AY12072 ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,如果不把iptables服务停止掉,当你输入iptables -p INPUT DROP回车的时候就应该SSH连接断了。因为你没有设置任何规则。怎么办?除了本机操作只有重启了!
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@AY12072 ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@AY12072 ~]# iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器
相关文章推荐
- 阿里云linux服务器上使用iptables设置安全策略的方法
- 最简单!阿里云服务器采用 LNMP一键安装包 配置 Linux+Nginx+Mysql+PHP
- 阿里云ECS服务器Linux环境下配置php服务器(一)--基础配置篇
- 阿里云服务器linux系统配置svn
- 阿里云linux web服务器 相关配置
- 阿里云ECS服务器Linux环境下配置php服务器(二)--phpMyAdmin篇
- 阿里云服务器Linux CentOS安装配置(九)shell编译、打包、部署
- 阿里云服务器linux(cenos)下 jdk、tomcat的安装配置
- 阿里云服务器Linux CentOS安装配置(七)域名解析
- 阿里云服务器Linux CentOS安装配置(一)购买阿里云服务器
- 阿里云服务器Linux CentOS安装配置(11)安装Wordpress
- 将nodejs项目部署到阿里云ESC服务器,linux系统配置80端口,实现公网IP访问
- Linux下通过iptables配置工具限制ip访问服务器
- 阿里云服务器Linux配置数据库、jre、tomcat、部署javaweb
- 阿里云linux简单配置ftp服务器
- 阿里云服务器Linux CentOS安装配置(二)yum安装svn
- 详解阿里云LINUX服务器配置HTTPS(NGINX)
- 阿里云服务器Linux CentOS安装配置(五)jetty配置、部署
- 阿里云 linux 服务器配置
- 【转】阿里云Linux redhat 服务器配置 nginx+ php + zend