(1)屏蔽所有端口
(2)把SSH的缺省端口设置为56565
(3)把56565、80、3306端口打开
(4)把3306端口设置为只允许本机访问
如果没有安装iptables的话,运行命令yuminstalliptables完成iptables安装
初始化安装以后,显示为以下信息:
[root@tp~]#iptables-L-n
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
(1)屏蔽所有端口
[root@tp~]#iptables-F
[root@tp~]#iptables-X
[root@tp~]#iptables-PINPUTDROP
[root@tp~]#iptables-POUTPUTDROP
[root@tp~]#iptables-PFORWARDDROP
当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃),有同学喜欢配置OUTPUT为accpet,因为如果被入侵,对方可以使用服务器做为中转,发起攻击,也会产生大量的数据包,所以这里配置为DROP
(2)把SSH的缺省端口设置为56565
在修改ssh端口时,应先把要修改的端口号56565加入白名单
[root@tp~]#iptables-AINPUT-ptcp--dport56565-jACCEPT
[root@tp~]#iptables-AOUTPUT-ptcp--sport56565-jACCEPT
[root@tp~]#/etc/rc.d/init.d/iptablessave
[root@tp~]#serviceiptablesrestart
再修改端口号
[root@linux~]#vi/etc/ssh/sshd_config
将"#Port22"修改为"Port56565"
重启ssh服务
[root@linux~]#/etc/init.d/sshdrestart
Stoppingsshd:[OK]
Startingsshd:[OK]
如果想看看sshd端口号是否修改成功的话,可以使用netstat-an命令查看一下或退出ssh使用新端口号登陆尝试。
(3)把80端口打开
[root@tp~]#iptables-AINPUT-ptcp--dport80-jACCEPT
[root@tp~]#iptables-AOUTPUT-ptcp--sport80-jACCEPT
[root@tp~]#/etc/rc.d/init.d/iptablessave
[root@tp~]#serviceiptablesrestart
(4)把3306端口设置为只允许本机访问
[root@tp~]#/sbin/iptables-AINPUT-ptcp-s127.0.0.1--dport3306-jACCEPT
[root@tp~]#/sbin/iptables-AOUTPUT-ptcp-s127.0.0.1--dport3306-jACCEPT