CentOS提供的软件防火墙iptables,通过配置防火墙,可以一定程度上防止服务器被入侵。但是iptables规则略复杂,开始接触的时候可能会感觉头晕,这里提供一个简单的配置模板。
防火墙对于外来的网络连接,一般处理的方式有三种:ACCEPT、DROP和REJECT,对应的意思就是接收请求、抛弃请求和拒绝请求。
编辑/etc/sysconfig/iptables
vim /etc/sysconfig/iptables
*filter
#默认INPUT 的策略是DROP 即拒绝所有的外来请求
:INPUT DROP [0:0]
#一般情况下用不到FORWARD 可以配置为默认DROP
:FORWARD DROP [0:0]
#本机对其他机器访问设置为默认ACCEPT
:OUTPUT ACCEPT [0:0]
#允许已经建立和相关的连接
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#允许icmp协议(即ping)
-A INPUT -p icmp -j ACCEPT
#允许回环请求
-A INPUT -i lo -j ACCEPT
#开放端口22 80(如果要开放其他端口 继续添加开放规则即可)
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
COMMIT
保存后重启iptables
service iptables restart