首先如果是使用的雲伺服器,比如阿裡雲或者是騰訊雲的。先去控制台将對應的接口放行,我這邊配置的是放行所有端口用于測試,如果是生産環境可以根據需要放行。
通過本操作,請确認您能使用Linux本機。如果您使用的是ssh遠端,而又不能直接操作本機,那麼先加上下面的代碼。當然最壞的結果是所有的端口都不能通路,甚至無法登陸ssh,但5分鐘之後,定時器會幫你關掉iptables防火牆。
[[email protected] ~]# crontab -uroot -e
*/5 * * * * /etc/init.d/iptables stop ##定時5分鐘關閉防火牆,防止設定錯誤,導緻無法進行ssh登陸
首先講介紹幾個簡單指令:
/etc/init.d/iptables save ##儲存防火牆規則,如果不進行儲存的話 重新開機iptables之後規則将消失
iptables -L -n ##檢視目前防火牆規則
PS:在添加規則之前先用iptables -L -n檢視一下目前規則,如果顯示沒有規則,可能是你的iptables沒有開啟。如果這個時候添加規則,儲存之後将覆寫之前的規則。如果要繼續使用之前的規則,先開啟iptables服務,這時候就能看到之前的規則,然後再在之前的基礎上添加。
我們先添加兩條規則
iptables -A INPUT -p tcp --dport 22 -j ACCEPT ##添加一個開放端口22的輸入流的規則
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ##添加一個開放端口22的輸出流的規則
添加以上兩條規則之後,就不用擔心登陸不了SSH了,想了解指令詳情使用iptables --help
這裡重點講一下iptables 裡面的 dport 和 sport的差別:
dport:目的端口
sport:來源端口
通過兩個INPUT的例子,大家區分下INPUT裡面的dport 和sport
例子1:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
這條INPUT規則可以這麼描述:
1.這是一條從外部進入内部本地伺服器的資料。
2.資料包的目的(dport)位址是22,就是要通路我本地的22端口。
3.允許以上的資料行為通過。
例子2:
1
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
這條INPUT規則可以這麼描述:
1.這是一條從外部進入内部本地伺服器的資料。
2.資料包的來源端口是(sport)22,就是對方的資料包是22端口發送過來的。
3.允許以上資料行為。
通過兩個OUTPUT的例子,大家區分下OUTPUT裡面的dport 和sport
例子1:
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
這條OUTPUT規則可以這麼描述:
1.這是一條從内部出去的資料。
2.出去的目的(dport)端口是22。
3.允許以上資料行為。
例子2:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
這條OUTPUT規則可以這麼描述:
1.這是一條從内部出去的資料。
2.資料包的來源端口是(sport)22,從本伺服器的22端口發出資料。
3.允許以上資料行為。
預設INPUT、OUTPUT、FORWARD都是ACCEPT的
不添加規則,則對所有端口的資料來者不拒~
iptables -P INPUT DROP #如果沒有添加端口22的accept規則,切勿運作此指令
如果運作上述指令的話,則是除了添加的規則之外的INPUT資料包都DROP掉。。。
同理還有這些指令:
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
一般把INPUT設定為DROP。那麼我們需要添加一些規則針對INPUT的ACCEPT的規則:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #開放ssh端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #開放web服務端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #開放ftp服務端口
iptables -A INPUT -p icmp -j ACCEPT #允許icmp包通過,也就是允許ping
iptables -A INPUT -i lo -p all -j ACCEPT #允許loopback
#####如果你還做了其他的伺服器,需要開啟哪個端口,照寫就行了.
一般把OUTPUT設定為ACCEPT。那麼我們需要添加一些規則針對OUTPUT的DROP規則:
關閉一些端口
iptables -A OUTPUT -p tcp --sport 27444 -j DROP
iptables -A OUTPUT -p tcp --sport 27665 -j DROP
iptables -A OUTPUT -p tcp --sport 31337 -j DROP