配置防火墙（服务器安全优化）

安全规划：开启 80  22 端口并 打开回路（回环地址 127.0.0.1）

1、在清除所有规则之前，通过所有请求，如果远程操作的话，防止远程链接断开：

         # iptables –P INPUT ACCEPT

         # iptables –P OUTPUT ACCEPT

         # iptables –P FORWARD ACCEPT

2、接下来清除服务器内置规则和用户自定义规则：

         # iptables –F

         # iptables -X

-F 是清空指定某个 chains 内所有的 rule 设定。比方 iptables -F -t filter，那就是把 filter table 内所有的INPUT/OUTPUT/FORWARD chain 设定的规则都清空。

-X 是删除使用者自订 table 项目，一般使用 iptables -N xxx 新增自订 chain 后，可以使用 iptables -X xxx 删除之。

3、 打开ssh端口，用于远程链接用：

         # iptables –A INPUT –p tcp –dport 22 –j ACCEPT

4、然后关闭INPUT 和 FORWARD请求：

         # iptables –P INPUT DROP

         # iptables –P FORWARD DROP

5、接下来设置环路，使得 ping 127.0.0.1这样的包额可以通过：

后面php会使用这个规则，Nginx中设置php-fpm访问地址：http://127.0.0.1:9000 即用到这个规则

         # iptables –A INPUT –i lo –j ACCEPT

6、接下来设置允许其他机器 ping 本机，也可以不允许，不允许会更加安全。

         # iptables –A INPUT –p icmp –j ACCEPT

7、接下来开放web服务端口 80

         # iptables –A INPUT –p tcp –dport 80 –j ACCEPT

8、根据需要开放各种端口。       

9、最后保存设置：

         # iptables-save

         # service iptables restart

至此已经完成关闭除22 80之外的所有对外端口，服务器可以通过任意端口向外发请求，但是外面的请求只能通过 80和22端口进入到内部

本文出自 “666鐨刡log” 博客，请务必保留此出处http://wellsay.blog.51cto.com/11241653/1844397

iptables配置