配置防火墙(服务器安全优化)
安全规划:开启 80 22 端口并 打开回路(回环地址 127.0.0.1)
# iptables –P INPUT ACCEPT
# iptables –P OUTPUT ACCEPT
# iptables –P FORWARD ACCEPT
以上几步操作是为了在清除所有规则之前,通过所有请求,如果远程操作的话,防止远程链接断开。
接下来清除服务器内置规则和用户自定义规则:
# iptables –F
# iptables -X
打开ssh端口,用于远程链接用:
# iptables –A INPUT –p tcp –dport 22 –j ACCEPT
然后关闭INPUT 和 FORWARD请求:
# iptables –P INPUT DROP
# iptables –P FORWARD DROP
接下来设置环路,使得 ping 127.0.0.1这样的包额可以通过。后面php会使用这个规则,
Nginx中设置php-fpm访问地址:http://127.0.0.1:9000 即用到这个规则
# iptables –A INPUT –i lo –j ACCEPT
接下来设置允许其他机器 ping 本机,也可以不允许,不允许会更加安全。
# iptables –A INPUT –p icmp –j ACCEPT
接下来开放web服务端口 80
# iptables –A INPUT –p tcp –dport 80 –j ACCEPT
最后保存设置:
# iptables-save
# service iptables restart
至此已经完成关闭除22 80之外的所有对外端口,服务器可以通过任意端口向外发请求,但是外面的请求只能通过 80和22端口进入到内部。
附件:
linux端口号大全 请参考我这篇文章
http://www.cnblogs.com/buffer/p/3386132.html
iptables 详解,请参考我这篇文章:
http://www.cnblogs.com/buffer/archive/2012/09/24/2700609.html