一、缘由:

  祸起Redis未授权访问漏洞被利用,删除了服务器的所有账号,导致无法登陆;这才不得不把开启防火墙提上日程。再次在开启防火墙过程中,一刀切造成了一些前段进程的端口被封,甚是后悔!

二、解决办法:

  开启防火墙也算是很重要的一个工程,所以要小心仔细,需从以下几点事先写好方案。

  1、登陆每一台机器,区分并确认前端进程和后端进程(后端进程即不面向用户开放的进程),做好统计。

  2、如果资源允许,最好前端后端进程部署在不同的机器上,尤其是PHP、WEB等前端应该单独部署,特殊对待。

  3、内网防火墙默认限制IP,前端进程防火墙限制端口,默认允许公司所有服务器IP地址。

  4、防火墙需要允许127.0.0.1、ICMP、yum、DNS 等必须的规则通过。

  其中DNS 如果有自己的DNS服务器最好,允许其IP通过即可;如果是公网DNS,需先在reslove.conf里设置NDS IP,然后再iptables里允许其通过;yum一样的,如果没有自己公司的yum源,需要加上iptables -I INPUT -p tcp -m state —state ESTABLISHED,RELATED -j ACCEPT,即添加允许已经建立的连接和原先的连接产生相关的连接,以及它们连接之后的通讯。

三、iptables 规则

  一般默认策略禁止INPUT,放通FORWARD ,OUTPUT即可。

比如我的脚本iptables.sh如下:

iptables -F

iptables -P INPUT DROP
iptables -A INPUT -s 223.5.5.5 -j ACCEPT

......

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

service iptables save

查看防火墙信息命令:sudo iptables -L -n -v

其中-L 即 list ;-n 不进行ip、端口到域名的逆向解析;-v 可以查看详细信息。

附上一份详细的iptables介绍博客:http://blog.chinaunix.net/uid-26495963-id-3279216.html

[ Iptables ] Linux开启防火墙,切记仔细确定每个端口的更多相关文章

  1. LINUX开启允许对外访问的网络端口

    LINUX开启允许对外访问的网络端口  LINUX通过下面的命令可以开启允许对外访问的网络端口: /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCE ...

  2. LINUX开启允许对外访问的网络端口命令

    LINUX通过下面的命令可以开启允许对外访问的网络端口: /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT #开启8000端口 /etc/rc ...

  3. linux查看防火墙状态和对外开放的端口状态

    1.查看防火墙状态         查看防火墙状态 systemctl status firewalld         开启防火墙 systemctl start firewalld        ...

  4. linux 开启防火墙操作

    1)在/etc/sysconfig/  下新建iptables文件,添加如下代码: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ...

  5. windows和linux开启防火墙时允许特定IP和端口

    windows 1.进入高级安全Windows Defender防火墙,新建规则中选择自定义 2.直接下一步 3.设置协议类型.本地端口选择和端口号 4.设置允许哪些IP访问这个端口,不设置则默认任何 ...

  6. linux下开启防火墙,允许通过的端口

    1.查看防火墙状态 systemctl status firewalld 2.如果不是显示active状态,需要打开防火墙 systemctl start firewalld 3.# 查看所有已开放的 ...

  7. Centos7下开启防火墙,允许通过的端口

    1.查看防火墙状态 systemctl status firewalld 2.如果不是显示active状态,需要打开防火墙 systemctl start firewalld 3.# 查看所有已开放的 ...

  8. linux查看防火墙的状态以及开启关闭

    存在以下两种方式: 一.service方式 查看防火墙状态: [root@centos6 ~]# service iptables status 开启防火墙: [root@centos6 ~]# se ...

  9. Linux 开启关闭防火墙

    开放防火墙端口添加需要监听的端口 /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT/sbin/iptables -I INPUT -p tcp ...

随机推荐

  1. scala言语基础学习三(面向对象编程)

    定义一个简单的类 //定义类,包含field以及方法 自定义的getter 和setter 仅仅暴露field的getter和setter方法 private[this]的使用 (只能在当前实例中使用 ...

  2. HTTP 状态消息

    1xx: 信息 消息: 描述: 100 Continue 服务器仅接收到部分请求,但是一旦服务器并没有拒绝该请求,客户端应该继续发送其余的请求. 101 Switching Protocols 服务器 ...

  3. 【P1326】超级教主

    DP优化 原题: LHX教主很能跳,因为Orz他的人太多了.教主跳需要消耗能量,每跳1米就会消耗1点能量,如果教主有很多能量就能跳很高.教主为了收集能量,来到了一个神秘的地方,这个地方凡人是进不来的. ...

  4. Codeforces Round #339 Div.2 A - Link/Cut Tree

    第一次正式参加常规赛想想有些小激动的呢 然后第一题就被hack了 心痛 _(:зゝ∠)_ tle点在于越界 因此结束循环条件从乘变为除 done //等等 这题没过总评 让我静静........ // ...

  5. linux下crontab定时执行本地脚本和定时访问指定url

    https://my.oschina.net/u/2487410/blog/683308 使用linux curl命令讲解:http://www.linuxdiyf.com/linux/2800.ht ...

  6. 最大化 AIX 上的 Java 性能,第 1 部分: 基础

    http://www.ibm.com/developerworks/cn/aix/library/es-Javaperf/es-Javaperf1.html 最大化 AIX 上的 Java 性能,第 ...

  7. Linux-实用的工具

    1.Nethogs-查看进程占用带宽情况wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm # ...

  8. 【转】3篇:Xilium CefGlue 关于 CLR Object 与 JS 交互类库封装报告:官方原生方法分析

    作者: 牛A与牛C之间 时间: 2013-11-17 分类: 技术文章 | 暂无评论 | 编辑文章 主页 » 技术文章 » 第3篇:Xilium CefGlue 关于 CLR Object 与 JS ...

  9. eclipse 怎么新建工作空间workspace

    打开eclipse 点击文件“File”菜单切换工作空间“Switch Workspace”>其它“Other” 点击“Browser”选择新的工作空间目录. 选择新的工作空间目录,点击确定. ...

  10. scala中的=>符号的含义

    [声明]本帖的内容是copy来的,来源为stack overflow. It has several meanings in Scala, all related to its mathematica ...