2012-10-01

[Linux]最基本的iptables firewall設定


最基本的firewall設定, 只開放ssh、pingftp,其他都擋,但自己可以連出去。

這邊的範例是用iptables這個防火牆套件來說明,如果沒有安裝的話請先安裝:
#安裝
yum install iptables

#將 iptables 模組載入 kernel
modprobe ip_tables

#啟動iptables
/etc/init.d/iptables start

#設定開機時自動啟動iptables
chkconfig iptables on

之後將下面的指令貼在/etc/rc.local裡,存檔後打sh -x /etc/rc.local 沒出現錯誤就設定完成。
#載入ftp模組
modprobe nf_conntrack_ftp

#清除系統預設的防火牆規則
iptables -F
iptables -X

#允許自己主動發出的請求,才可以連出去
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#開放ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#開放ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#開放ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#不是自己主動發出Request而Response的,全都阻檔掉
iptables -A INPUT -m state --state NEW -j DROP

如果Server是架於KVM,那在最後要將KVMreload一下,KVM才能正常連外:
/etc/init.d/libvirtd reload

更多相關設定可以參考酷!學園

沒有留言:

張貼留言