配置防火墙(服务器安全优化)
安全规划:开启 80 22 端口并 打开回路(回环地址 127.0.0.1)
1、在清除所有规则之前,通过所有请求,如果远程操作的话,防止远程链接断开:
# iptables –P INPUT ACCEPT
# iptables –P OUTPUT ACCEPT
# iptables –P FORWARD ACCEPT
2、接下来清除服务器内置规则和用户自定义规则:
# iptables –F
# iptables -X
-F 是清空指定某个 chains 内所有的 rule 设定。比方 iptables -F -t filter,那就是把 filter table 内所有的INPUT/OUTPUT/FORWARD chain 设定的规则都清空。
-X 是删除使用者自订 table 项目,一般使用 iptables -N xxx 新增自订 chain 后,可以使用 iptables -X xxx 删除之。
3、 打开ssh端口,用于远程链接用:
# iptables –A INPUT –p tcp –dport 22 –j ACCEPT
4、然后关闭INPUT 和 FORWARD请求:
# iptables –P INPUT DROP
# iptables –P FORWARD DROP
5、接下来设置环路,使得 ping 127.0.0.1这样的包额可以通过:
后面php会使用这个规则,Nginx中设置php-fpm访问地址:http://127.0.0.1:9000 即用到这个规则
# iptables –A INPUT –i lo –j ACCEPT
6、接下来设置允许其他机器 ping 本机,也可以不允许,不允许会更加安全。
# iptables –A INPUT –p icmp –j ACCEPT
7、接下来开放web服务端口 80
# iptables –A INPUT –p tcp –dport 80 –j ACCEPT
8、根据需要开放各种端口。
9、最后保存设置:
# iptables-save
# service iptables restart
至此已经完成关闭除22 80之外的所有对外端口,服务器可以通过任意端口向外发请求,但是外面的请求只能通过 80和22端口进入到内部
本文出自 “666鐨刡log” 博客,请务必保留此出处http://wellsay.blog.51cto.com/11241653/1844397
原文地址:http://wellsay.blog.51cto.com/11241653/1844397
