See You Again

使用iptables做防火墙

前段时间把网站升级到https,启用了443端口,却发现一直访问不了,仔细一调查,发现是防火墙在作怪——没有对外开放端口服务。

防火墙的原理是建立在 TCP/IP 协议上的,对每一个协议层的输入输出进行访问控制。常见的就是网络层的防火墙了,对访问者的 ip、端口、网卡、协议进行权限控制。像我们遇到的问题,需要在/etc/sysconfig/iptables增加一个端口的访问控制,表示接收对443端口的网络请求:

  1. *filter
  2. -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

记得重启下服务:

  1. service iptables restart

查看 iptables 的配置文件,可以发现它有3个功能块来实现不同的策略:

  1. *filter # 定义数据包中允许或者不允许的策略
  2. *nat # 定义地址转换的功能
  3. *mangle # 修改报文原数据

现在有个小例子,对于外部的 PING 命令我不想回复它,直接丢弃掉,只需在 filter 规则块里加上这样一条配置:

  1. *filter
  2. -A INPUT -p icmp --icmp-type 0 -j REJECT

具体的命令参数、使用方法比较复杂,有需要的时候再去查阅。

2017-02-04 喜欢

Copyright © 2015-2018 转载请注明出处

回到顶部 ↑