本文共 3081 字,大约阅读时间需要 10 分钟。
说明:
修改SSH的端口很大程度上能杜绝被黑客扫描,增加系统的安全系数,最近有客户修改完端口没有设置防火墙开启修改后的端口导致修改后链接不上VPS,下面教大家安全修改并在iptables里开启相应的端口:实现:
1.修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用22端口,修改为: Port 22 Port 1234/etc/init.d/sshd restart
#这样SSH端口将同时工作在22、1234上
查看防火墙规则
1、iptables -nvL2、more /etc/sysconfig/iptables
2.添加防火墙规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 1234 -j ACCEPT/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart然后使用SSH工具测试你所设置的端口是否能正常使用
如果能正常使用返回到第一步,删除原来的22端口,以及修改防火墙配置文件 之所以先设置成两个端口,测试成功后再关闭一个端口,是为了方式在修改的过程中,万一出现掉线、断网、误操作等未知情况时候,还能通过另外一个端口连接上去调试以免发生连接不上的状况。开启自动启动:chkconfig iptables on
开启不自动启动:chkconfig iptables off附录:
设定预设规则,INPUT链默认拒绝,OUTPUT链默认接受,FORWARD链默认拒绝 iptables -F #清除预设表filter中的所有规则链的规则 iptables -X #清除预设表filter中使用者自定链中的规则 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROPiptables -L -n --line #按行数显示防火墙规则
iptables -D INPUT 1 #删除INPUT表第一条iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #来源、目的为127.0.0.1都接受,这条放最后就可以了
1、安装iptables防火墙
如果没有安装iptables需要先安装,CentOS执行: yum install iptablesDebian/Ubuntu执行:
apt-get install iptables2、清除已有iptables规则
iptables -F iptables -X iptables -Z3、开放指定的端口
#允许本地回环接口(即运行本机访问本机) iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问 iptables -A INPUT -j REJECT (注意:如果22端口未加入允许规则,SSH链接会直接断开。) iptables -A FORWARD -j REJECT4、屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
5、查看已添加的iptables规则
iptables -L -nv:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探 n:只显示IP地址和端口号,不将ip解析为域名6、删除已添加的iptables规则
将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 87、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:
chkconfig --level 345 iptables on
开启自动启动:chkconfig iptables on
开启不自动启动:chkconfig iptables off将其加入开机启动。
CentOS上可以执行:
service iptables save /etc/rc.d/init.d/iptables save /etc/rc.d/init.d/iptables restart保存规则。
另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。
需要按如下步骤进行,让网卡关闭是保存iptables规则,启动时加载iptables规则:
创建/etc/network/if-post-down.d/iptables 文件,添加如下内容:
#!/bin/bash iptables-save > /etc/iptables.rules执行:chmod +x /etc/network/if-post-down.d/iptables 添加执行权限。
创建/etc/network/if-pre-up.d/iptables 文件,添加如下内容:
#!/bin/bash
iptables-restore < /etc/iptables.rules执行:chmod +x /etc/network/if-pre-up.d/iptables 添加执行权限。
关于更多的iptables的使用方法可以执行:iptables --help或网上搜索一下iptables参数的说明。
注:每次服务在停止之前会自动将现有的规则保存
在 /etc/sysconfig/iptables 这个文件中去.转载地址:http://bivwn.baihongyu.com/