由于作为 web 站群服务器来使用,所以对外要开放 80 埠,另外肯定要通过 ssh 进行站群服务器管理,22 埠也要对外开放,当然最好是把 ssh 服务的预设埠改掉,在公网上会有很多人试图破解密码的,如果修改埠,记得要把该埠对外开发,否则连不上就悲剧了。下面提供配置规则的详细说明:
第一步:清空所有规则
当 Chain INPUT (policy DROP) 时执行/sbin/iptables -F 后,你将和站群服务器断开连线
所有在清空所有规则前把 policy DROP 该为 INPUT,防止悲剧发生,小心小心再小心
/sbin/iptables -P INPUT ACCEPT
清空所有规则
/sbin/iptables -F
/sbin/iptables -X
计数器置 0
/sbin/iptables -Z
第二步:设定规则
允许来自于 lo 介面的资料包,如果没有此规则,你将不能通过 127.0.0.1 访问本地服务,例如 ping 127.0.0.1
/sbin/iptables -A INPUT -i lo -j ACCEPT
开放 TCP 协议 22 埠,以便能 ssh,如果你是在有固定 ip 的场所,可以使用 -s 来限定客户端的 ip
/sbin/iptables -A INPUT -p tcp –dport 22 -j ACCEPT
开放 TCP 协议 80 埠供 web 服务
/sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT
10.241.121.15 是另外一台站群服务器的内网 ip,由于之间有通讯,接受所有来自 10.241.121.15 的 TCP 请求
/sbin/iptables -A INPUT -p tcp -s 10.241.121.15 -j ACCEPT
接受 ping
/sbin/iptables -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
遮蔽上述规则以外的所有请求,不可缺少,否则防火墙没有任何过滤的功能
/sbin/iptables -P INPUT DROP
可以使用 iptables -L -n 检视规则是否生效
至此防火墙就算配置好,但是这是临时的,当重启 iptables 或重启机器,上述配置就会被清空,要想永久生效,还需要如下操作:
/etc/init.d/iptables save
或
service iptables save
执行上述命令可以在档案 /etc/sysconfig/iptables 中看到配置