markdown [linux:iptables]限制在CentOS6上通过IPTables从另一个实例访问端口。* #linux

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了markdown [linux:iptables]限制在CentOS6上通过IPTables从另一个实例访问端口。* #linux相关的知识,希望对你有一定的参考价值。

## 初期状態を確認
インスタンス生成直後の Linux ちゃんは制限なし状態。

```
$ sudo iptables -L
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination

> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination

> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
```

## 設定サンプル

### 1. 設定ファイル生成
```
# /etc/sysconfig/iptables を生成
$ sudo vi /etc/sysconfig/iptables
```

記述例は以下を参照。ほかに memcached とかサーバ間で許可したいものがあれば ALLOW 列挙していく。

```
*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]

##### ALLOW DNS #####
-A OUTPUT -p tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT

##### ALLOW HTTP / HTTPS #####
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443   -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##### DENY SSH (If you want) #####
# Allow your machine ip address.
# -A INPUT -s 192.0.2.100 -p tcp --dport 22 -j ACCEPT
# Deny from other than above.
# -A INPUT -p tcp --dport 22 -j REJECT

##### DENY MySQL (If you want) #####
# Allow your machine ip address.
# -A INPUT -s 192.0.2.100 -p tcp --dport 3306 -j ACCEPT
# Deny from other than above.
# -A INPUT -p tcp --dport 3306 -j REJECT

##### DENY ALL OTHER THAN ABOVE #####
-A INPUT -j REJECT --reject-with icmp-host-prohibited

#####
COMMIT
```

### 2. IPTables を起動 & 起動時の有効化設定
```
$ sudo /etc/init.d/iptables start
$ sudo chkconfig iptables on
# 確認!
$ sudo iptables -L
```

以上是关于markdown [linux:iptables]限制在CentOS6上通过IPTables从另一个实例访问端口。* #linux的主要内容,如果未能解决你的问题,请参考以下文章

markdown Ubuntu iptables管理端口

markdown 你如何检查iptables状态?

markdown コンテナを起动しようとしたらiptables失败メッセージ

Linux上iptables基础应用

linux命令:编译安装iptables

linux iptables