公司最近對網絡安全抓的比較嚴,要求防火牆必須開啓,但是項目的服務器有五六臺,三臺用於負載均衡,服務器之間必須要進行各種連接,那就只能通過添加白名單的方式。
登上服務器,編輯防火牆配置文件
vi /etc/sysconfig/iptables
把需要訪問本臺服務器的其他服務器ip地址,以及本臺服務器需要開放的端口號添加上
如下:
|
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#這裏開始增加白名單服務器ip(請刪除當前服務器的ip地址)
-N whitelist
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
#這裏結束白名單服務器ip
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT //開放1000到8000之間的所有端口
//上面這些 ACCEPT 端口號,公網內網都可以訪問
//下面這些 whitelist 端口號,僅限服務器之間通過內網訪問
#這裏添加爲白名單ip開放的端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist
#這結束爲白名單ip開放的端口
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
|
編輯完之後,別忘了重啓防火牆
service iptables restart
轉自:http://www.cnblogs.com/yashi/p/7550669.html
