利用iptables防火墙保护web服务器

Posted 2022-06-02 zc1741845455

 

实例：利用iptables防火墙保护web服务器

 

防火墙--->路由器-->交换机-->pc机

配置之前，清空下已有的规则，放在规则冲突不生效

工作中，先放行端口写完规则，再DROP，然后再配置相应的服务比如nginx,mysql,php服务等

比如开演唱会，先把门打开，放行之后，再关门

 

1、放行我们的本地回环lo接口

Iptables -A (append的意思,默认追加一条规则，放在防火墙最后一条）

-t 是指定表，不指定默认指定filter

INPUT 匹配目标IP是本机的数据包 （进来的数据包）

-i 指定INPUT接口

-j 动作

ACCEPT：允许通过

DROP：直接丢弃，不给出任何回应

REJECT：拒绝通过，必要时会给出提示

LOG：记录日志信息，然后传给下一条规则继续匹配

 

2、放行我们的服务端口，先配置防火墙策略，再部署服务，让这些服务可以进来

 

-m state 监听运行状态的模块

--state RELATED,ESTABLISHED

ESTABLISHED:连接态

RELATED:衍生态，与conntrack关联（FTP）

 

4、让我们策略的端口运行通过，其他的不可以

5、查看我们的策略，放行的端口，我们写的是 -A 是在防火墙最后一条追加，这里并放行了我们的端口，22,80,443,8080,8443,3306,9000,21

 

注意：OUTPUT一般不做防护，对出去的数据包不做防护，只对进来的数据包做防火墙策略

INPUT

 

6、安装httpd服务测试防火墙策略

[root@localhost ~]# yum install httpd

访问之后可以看到iptables进来数据包的流量

7、保存策略，防止重启之后策略丢失

[root@localhost ~]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[  确定  ]