配置防火牆(服務器安全優化)
安全規劃:開啓 80 22 端口並 打開回路(迴環地址 127.0.0.1)
1、在清除所有規則之前,通過所有請求,如果遠程操作的話,防止遠程鏈接斷開:
# iptables –P INPUT ACCEPT
# iptables –P OUTPUT ACCEPT
# iptables –P FORWARD ACCEPT
2、接下來清除服務器內置規則和用戶自定義規則:
# iptables –F
# iptables -X
-F 是清空指定某個 chains 內所有的 rule 設定。比方 iptables -F -t filter,那就是把 filter table 內所有的INPUT/OUTPUT/FORWARD chain 設定的規則都清空。
-X 是刪除使用者自訂 table 項目,一般使用 iptables -N xxx 新增自訂 chain 後,可以使用 iptables -X xxx 刪除之。
3、 打開ssh端口,用於遠程鏈接用:
# iptables –A INPUT –p tcp –dport 22 –j ACCEPT
4、然後關閉INPUT 和 FORWARD請求:
# iptables –P INPUT DROP
# iptables –P FORWARD DROP
5、接下來設置環路,使得 ping 127.0.0.1這樣的包額可以通過:
後面php會使用這個規則,Nginx中設置php-fpm訪問地址:http://127.0.0.1:9000 即用到這個規則
# iptables –A INPUT –i lo –j ACCEPT
6、接下來設置允許其他機器 ping 本機,也可以不允許,不允許會更加安全。
# iptables –A INPUT –p icmp –j ACCEPT
7、接下來開放web服務端口 80
# iptables –A INPUT –p tcp –dport 80 –j ACCEPT
8、根據需要開放各種端口。
9、最後保存設置:
# iptables-save
# service iptables restart
至此已經完成關閉除22 80之外的所有對外端口,服務器可以通過任意端口向外發請求,但是外面的請求只能通過 80和22端口進入到內部