博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
IPTABLES常用命令之配置生产环境IPTABLES及优化
阅读量:6757 次
发布时间:2019-06-26

本文共 2113 字,大约阅读时间需要 7 分钟。

第一步:清空当前的所有规则和计数

iptables -F      #清空所有的防火墙规则iptables -X      #删除用户自定义的空链iptables -Z      #清空计数

第二步:配置允许ssh端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT  #22为你的ssh端口, -s 192.168.1.0/24表示允许这个网段的机器来连接,其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求

第三步:允许本地回环地址可以正常使用

iptables -A INPUT -i lo -j ACCEPT  #本地圆环地址就是那个127.0.0.1,是本机上使用的,它进与出都设置为允许iptables -A OUTPUT -o lo -j ACCEPT

第四步:设置默认的规则

(由于在生产上,我们设置默认的入与转发都不允许,出的允许)iptables -P INPUT DROP #配置默认的不让进iptables -P FORWARD DROP #默认的不允许转发iptables -P OUTPUT ACCEPT #默认的可以出去

第五步:配置白名单

iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT  #允许机房内网机器可以访问iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT  #允许机房内网机器可以访问iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT #允许183.121.3.7访问本机的3380端口

第六步:开启相应的服务端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #开启80端口,因为web对外都是这个端口iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #允许被pingiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #已经建立的连接得让它进来

第七步:保存规则到配置文件中

因为刚刚的所有的规则都还是在内存中的,如果重启机器或者执行service iptables restart都会让其它失效,所以我们要把它保存在文件中,让它重启的时候能够被加载到。[root@zejin238 ~]# cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak #任何改动之前先备份,请保持这一优秀的习惯[root@zejin238 ~]# iptables-save > /etc/sysconfig/iptables [root@zejin238 ~]# cat /etc/sysconfig/iptables# Generated by iptables-save v1.4.7 on Wed Sep 28 18:06:07 2016*filter:INPUT DROP [8:632]  :FORWARD DROP [0:0]:OUTPUT ACCEPT [4:416]-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.1.0/24 -j ACCEPT -A INPUT -s 192.168.140.0/24 -j ACCEPT -A INPUT -s 183.121.3.7/32 -p tcp -m tcp --dport 3380 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT# Completed on Wed Sep 28 18:06:07 2016

iptables优化

当服务器收到一条请求时,它会把iptables从上往下,一条条匹配定制的规则,那么假如机器收到一个正常的web请求,要走80端口,它需要先去检验前面5条规则,发现都不符合,直到第六条满足条件,那么这样的话防火墙的工作效率就低了很多。

所以我们优化的思路是:请求最频繁的放在最上面,请求频率较小的放在最后面。

本文转自写个博客骗钱博客51CTO博客,原文链接http://blog.51cto.com/dadonggg/1955378如需转载请自行联系原作者

菜鸟东哥

你可能感兴趣的文章
使用poi读取word文档
查看>>
(转)ROR框架介绍
查看>>
01 Cisco网络架构
查看>>
eclipse常用的快捷键 大全
查看>>
Redis 3.0 新特性,支持redis 集群
查看>>
POE系统构成
查看>>
oracle数据库安装
查看>>
django + nginx + uwsgi部署
查看>>
Linux下安装Emacs
查看>>
操作系统
查看>>
vuejs学习之 项目打包之后的首屏加载优化
查看>>
三十、小程序解析HTML(对富文本返回数据的处理)
查看>>
利用YUM搭建DNS
查看>>
好详细啊saltsatck超全配置
查看>>
安装LAMP环境遇到Sorry, I cannot run apxs
查看>>
centos7双网卡bond失败
查看>>
JNI AES文件及字符串加解密
查看>>
APUE读书笔记-16网络通信-01简介
查看>>
apache站点稍大文件不完整原因及解决
查看>>
python的reduce函数
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-01-30 12:59:16   当前IP: 3.135.191.228   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我