English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية

  1. 現在の位置
  2. ホーム
  3. 経験記録
  4. 本文

阿里云Centosのiptablesファイアウォール設定チュートリアル

アリババクラウドがクラウドガードサービスを提供しているにもかかわらず、自分で一層のファイアウォールを追加することは常により安全です。以下は、アリババクラウドvps上でファイアウォールを設定するプロセスです。現在はINPUTのみを設定しています。OUTPUTとFORWARDはすべてACCEPTのルールです

一、iptablesサービスの状態を確認

まずiptablesサービスの状態を確認

[root@woxplife ~]# service iptables status
iptables: ファイアウォールは実行されていません。

iptablesサービスはインストールされていますが、サービスが起動していないことがあります。
インストールされていない場合は、直接yumでインストールできます

yum install -y iptables

iptablesを起動

[root@woxplife ~]# service iptables start
iptables: ファイアウォールルールを適用中:             [ OK ]

現在のiptablesの設定状況を確認

[root@woxplife ~]# iptables -L -n

二、デフォルトのファイアウォールルールをクリア

#クリアする前に、policy INPUTをACCEPTに変更して、すべてのリクエストを受け入れることを示します。
#これは最初に実行する必要があります、クリア後に悲劇になる可能性があります
iptables -P INPUT ACCEPT
#デフォルトルールをすべてクリア
iptables -F
#カスタムルールをすべてクリア
iptables -X
#カウンタを0に設定
iptables -Z

三、ルールの設定

#loインターフェースからのパケットを許可
#このルールがないと、通過できない127.0.0.1ローカルサービスにアクセスする場合、例えばping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT 
#sshポート22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTPポート21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#webサービスポート80
iptables -A INPUT -p tcp --dport 80 -j ACCEP
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
# icmpパックを通過させる、つまりpingを許可する
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# 全ての外部リクエストの返信パックを許可する
# 本機からの外部リクエストはOUTPUTに相当し、返信データパックは受け入れる必要があります。これがINPUTに相当します
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# 内網IPの信頼(すべてのTCPリクエストを受け入れる)を追加する
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
# 上記のルール以外のすべてのリクエストをフィルタリングする
iptables -P INPUT DROP

四、保存
まずiptables -L -設定が正しいか確認してください。
問題がなければ、すぐに保存しないでください。なぜなら、保存されない場合は現在のみ有効であり、再起動すると効果がなくなります。これにより、何か問題が発生した場合、バックグラウンドで強制的にサーバーを再起動して設定を復元できます。
別のssh接続を開いて、ログインできることを確認してください。

問題がなければ保存してください

# 保存
[root@woxplife ~]# service iptables save
# 自動起動に追加する
[root@woxplife ~]# chkconfig iptables on

これで本文のすべての内容が終わります。皆様の学習に役立つことを願っています。また、呐喊ガイドを多くのサポートをお願いします。

声明:本文の内容はインターネットから取得しており、著作権者に帰属します。インターネットユーザーが自発的に貢献し、アップロードしたものであり、本サイトは所有権を持ちません。また、人工編集は行われておらず、関連する法的責任を負いません。著作権侵害を疑う内容があれば、メールを送信してください:notice#oldtoolbag.com(メール送信時は、#を@に変更してください)で報告してください。関連する証拠を提供していただければ、本サイトは即座に侵害を疑う内容を削除します。

基本チュートリアル
おすすめ