zoukankan      html  css  js  c++  java
  • Linux服务器防火墙白名单设置

     公司最近对网络安全抓的比较严,要求防火墙必须开启,但是项目的服务器有五六台,三台用于负载均衡,服务器之间必须要进行各种连接,那就只能通过添加白名单的方式。

      登上服务器,编辑防火墙配置文件

      vi /etc/sysconfig/iptables

      把需要访问本台服务器的其他服务器ip地址,以及本台服务器需要开放的端口号添加上

      如下:

    复制代码
    # Firewall configuration written by system-config-firewall
    # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    #这里开始增加白名单服务器ip(请删除当前服务器的ip地址)
    -N whitelist
    -A whitelist -s 192.168.111.xxx -j ACCEPT
    -A whitelist -s 192.168.111.xxx -j ACCEPT
    -A whitelist -s 192.168.111.xxx -j ACCEPT
    -A whitelist -s 192.168.111.xxx -j ACCEPT
    -A whitelist -s 192.168.111.xxx -j ACCEPT
    #这里结束白名单服务器ip
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT  //开放1000到8000之间的所有端口
    //上面这些 ACCEPT 端口号,公网内网都可以访问
    
    //下面这些 whitelist 端口号,仅限服务器之间通过内网访问
    #这里添加为白名单ip开放的端口
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist
    #这结束为白名单ip开放的端口
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    
    COMMIT
    复制代码

    编辑完之后,别忘了重启防火墙

      service iptables restart

    转自:http://www.cnblogs.com/yashi/p/7550669.html

  • 相关阅读:
    数据库锁表处理汇总
    2021,顺其自然
    NetCore中跨域策略的一个坑
    Furion框架亮点之-动态WebAPI
    sql中where in的数量限制
    动态规划学习笔记
    用Go编写Web应用程序
    Asp.net Core AutoFac根据程序集实现依赖注入
    Linux+Docker+Gitee+Jenkins自动化部署.NET Core服务
    CentOS8.0安装Nacos
  • 原文地址:https://www.cnblogs.com/ZenoLiang/p/9548200.html
Copyright © 2011-2022 走看看