阿里云Centos配置iptables防火墙

admin

虽说阿里云推出了云盾服务，但是自己再加一层防火墙总归是更安全些，下面是我在阿里云vps上配置防火墙的过程，目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则

一、检查iptables服务状态

首先检查iptables服务的状态

1. [root@woxplife ~]# service iptables status
   
2. iptables: Firewall is not running.

复制代码

说明iptables服务是有安装的，但是没有启动服务。
如果没有安装的话可以直接yum安装

1. yum install -y iptables

复制代码

启动iptables

1. [root@woxplife ~]# service iptables start
   
2. iptables: Applying firewall rules:                         [  OK  ]

复制代码

看一下当前iptables的配置情况

1. [root@woxplife ~]# iptables -L -n

复制代码

二、清除默认的防火墙规则

1. #首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
   
2. #这个一定要先做，不然清空后可能会悲剧
   
3. iptables -P INPUT ACCEPT
   
4. 
   
5. #清空默认所有规则
   
6. iptables -F
   
7. 
   
8. #清空自定义的所有规则
   
9. iptables -X
   
10. 
    
11. #计数器置0
    
12. iptables -Z

复制代码

三、配置规则

1. #允许来自于lo接口的数据包
   
2. #如果没有此规则，你将不能通过127.0.0.1访问本地服务，例如ping 127.0.0.1
   
3. iptables -A INPUT -i lo -j ACCEPT
   
4. 
   
5. #ssh端口22
   
6. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   
7. 
   
8. #FTP端口21
   
9. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
   
10. 
    
11. #web服务端口80
    
12. iptables -A INPUT -p tcp --dport 80 -j ACCEP
    
13. 
    
14. #tomcat
    
15. iptables -A INPUT -p tcp --dport xxxx -j ACCEP
    
16. 
    
17. #mysql
    
18. iptables -A INPUT -p tcp --dport xxxx -j ACCEP
    
19. 
    
20. #允许icmp包通过,也就是允许ping
    
21. iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
    
22. 
    
23. #允许所有对外请求的返回包
    
24. #本机对外请求相当于OUTPUT,对于返回数据包必须接收啊，这相当于INPUT了
    
25. iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    
26. 
    
27. #如果要添加内网ip信任（接受其所有TCP请求）
    
28. iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
    
29. 
    
30. #过滤所有非以上规则的请求
    
31. iptables -P INPUT DROP

复制代码

四、保存

首先iptables -L -n看一下配置是否正确。
没问题后，先不要急着保存，因为没保存只是当前有效，重启后就不生效，这样万一有什么问题，可以后台强制重启服务器恢复设置。
另外开一个ssh连接，确保可以登陆。

确保没问题之后保存

1. #保存
   
2. [root@woxplife ~]# service iptables save
   
3. 
   
4. #添加到自启动chkconfig
   
5. [root@woxplife ~]# chkconfig iptables on

复制代码