centos6云服务器如何使用iptables防火墙

扫码添加渲大师小管家，免费领取渲染插件、素材、模型、教程合集大礼包！

centos6云服务器使用iptables防火墙的方法：1。打开centos6云服务器终端控制台；2。输入“yum install -t iptables”命令安装iptables防火墙；3。安装iptables防火墙成功后。设置防火墙规则即可。

具体内容如下：

我们需要先准备好一台部署CentOS 6的云服务器。并确保可以用root账户登录系统。

第一步：规划iptables规则

在本文的演示环境中。这台云服务器将提供网站服务。不提供其他服务。诸如FTP。邮件。IRC等。我们规划的需要开启的服务。协议和端口如下表。除此之外全部屏蔽。

正如上文所述。iptables是由一系列的规则来控制网络访问的。当网络数据包发送到云服务器上时。iptables将会依次按照这些规则来检测并处理数据包。如果满足某条规则。其他规则将被略过。如果没有满足任何规则。则使用iptables的默认规则来处理。

网络数据包分为三类：INPUT。OUTPUT。FORWARD。对于这三类数据包。我们将采取不同的处理方式。这也作为iptables的默认规则使用。

INPUT：流入数据包可能是安全的。也可能是有害的。因此需要区别对待。

OUTPUT：流出数据包通常认为是安全的。因此设置为接受。

FORWARD：转发数据包一般没有用处。因此设置为丢弃。

第二步：创建iptables规则

好了。下面我们就根据规划来设置iptables防火墙规则。以下命令都是用root账户登录系统后执行的。请确保登录账户有root权限。

查看当前规则：

iptables-L-n

清空当前规则：

iptables-F;iptables-X;iptables-Z

拒绝来自127.0.0.0/8的流量。除了loopback（回环流量）之外：

iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-d127.0.0.0/8-jREJECT

阻止一些常见的攻击：

iptables-AINPUT-ptcp!--syn-mstate--stateNEW-jDROP
iptables-AINPUT-ptcp--tcp-flagsALLNONE-jDROP
iptables-AINPUT-ptcp--tcp-flagsALLALL-jDROP

接受所有已建立的流入连接：

iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT

接受HTTP和HTTPS连接：

iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport443-jACCEPT

接受SSH连接：

iptables-AINPUT-ptcp--dport22-jACCEPT

接受NTP连接：

iptables-AINPUT-pudp--dport123-jACCEPT

接受DNS请求：

iptables-AINPUT-pudp--dport53-jACCEPT
iptables-AINPUT-ptcp--dport53-jACCEPT

允许Ping：

iptables-AINPUT-picmp--icmp-typeecho-request-jACCEPT

最后。设置iptables默认规则：

iptables-PINPUTDROP
iptables-POUTPUTACCEPT
iptables-PFORWARDDROP

第三步：保存iptables规则

需要注意的是。虽然以上设置都是即时生效的。但并非永久有效。如果没有保存。一旦系统重启后。规则将会失效。因此我们还需要把刚才设置好的规则保存到云服务器硬盘中。保存iptables的规则是：

serviceiptablessave

iptables的规则将被保存到/etc/sysconfig/iptables文件中。你可以直接查看或修改这个文件。

cat/etc/sysconfig/iptables

我被锁在外面了。怎么办？

因为iptables的规则都是即时生效的。所以我们一旦设置错误。就有可能把自己锁在外面。无法远程管理云服务器了。怎么办呢？有两种解决办法。

如果你还没保存iptables规则。那很简单。只要到亿速云管理中心=》业务管理=》云服务器管理中。执行重启云服务器即可。

如果你已经保存了iptables规则。别忘了还可以通过控制台管理云服务器。打开亿速云管理中心=》业务管理=》云服务器管理=》控制台。输入用户名和密码进入系统后。执行iptables -F命令。清空所有iptables规则。就可以远程进入系统了。