CentOS iptables配置笔记

文章目录

1. 1. 简介
2. 2. 修改SSH FTP端口
   1. 2.1. 修改SSH端口
   2. 2.2. 修改vsftpd端口
3. 3. 屏蔽端口
   1. 3.1. 安装iptables
   2. 3.2. 屏蔽所有端口
4. 4. 打开指定端口
5. 5. Mysql端口
6. 6. 本地端口
7. 7. 保存并启用iptables

简介

为了提升服务器安全性能，开启了iptables,对此次配置iptables做个记录

1. 把SSH的缺省端口设置为 13256 ，vsftpd端口修改为2121
2. 安装iptables 并屏蔽所有端口
3. 把13256、80、2121端口打开
4. 把3306端口设置为只允许本机访问
5. 本地对本地端口全部开放
6. 保存并启用iptables

修改SSH FTP端口

修改SSH端口

在文件/etc/ssh/sshd_config中找到Port 22，将其修改为13256,或使用/usr/sbin/sshd -p 13256指定端口。

修改vsftpd端口

在文件/etc/vsftpd/vsftpd.conf 添加添加如下设置

listen_port=2121    #更改监听端口
pasv_min_port=9981  #被动模式最低端口
pasv_max_port=9990  #被动模式最高端口

屏蔽端口

安装iptables

如果没有安装iptables的话，运行命令yum install iptables -y完成iptables安装。

屏蔽所有端口

注意：在屏蔽端口前先使用/etc/rc.d/init.d/iptables stop停止iptables，不然SSH就要断开了。

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

当超出了iptables里filter表里的两个链规则 (INPUT,FORWARD) 时，不在这两个规则里的数据包怎么处理呢，那就是DROP(放弃)，有同学喜欢配置OUTPUT为accpet，因为如果被入侵，对方可以使用服务器做为中转，发起攻击，也会产生大量的数据包，所以这里配置为DROP。

打开指定端口

下面代码中的端口数字请替换为你在上面修改的SSH vsftpd的端口

iptables -A INPUT -p tcp --dport 13256 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 13256 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 2121 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2121 -j ACCEPT

Mysql端口

把Mysql(3306)端口设置为只允许本机访问

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

如果你需要外网访问3306端口，请忽略上面的命令，使用下面的命令

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3306 -j ACCEPT

本地端口

本地对本地端口全部开放

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

保存并启用iptables

/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart