CentOS 7 配置白名单

CentOS 7 配置白名单

---

在一些网络安全要求比较高的场景下（比如：客户现场部署的环境，客户要求部署服务的机器均需经过安全扫描和漏洞检测），为了保证机器上的服务不会被恶意攻击，

我们可以通过一些手段进行控制（比如，MySQL数据库的访问权限控制，我们可以通过SQL命令对可访问机器进行控制）。

更为便捷的方式，可以通过 Linux 系统自带的防火墙功能，通过针对特定的 IP 和 port 添加白名单的方式，进行安全访问控制，杜绝外部恶意访问和攻击。

在配置白名单前，需要保证 CentOS 7的机器上有 iptables文件。

iptables服务的安装，可以参考：https://www.cnblogs.com/miracle-luna/p/13714709.html

如果想实现如下效果：

1）允许 10.105.211.10，10.105.211.11，10.105.211.12 这三台机器访问该机器的  UDP端口 111和123 ，TCP端口 3306，

2）允许其他机器访问该机器的除了TCP端口 8080和 8082 以外的其他端口。

方式1（常规配置）：

iptables 文件配置如下：

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# 配置白名单中的源IP（10.105.211.10，10.105.211.11，10.105.211.12）
-N whitelist 
-A whitelist -s 10.105.211.10 -j ACCEPT
-A whitelist -s 10.105.211.11 -j ACCEPT
-A whitelist -s 10.105.211.12 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

# 白名单中的机器允许访问 UDP端口 111和123
-A INPUT -m state --state NEW -p udp --dport 111 -j whitelist
-A INPUT -m state --state NEW -p udp --dport 123 -j whitelist

# 白名单中的机器允许访问 TCP端口 3306
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist

# 其他机器允许访问 除了TCP端口 8080和 8082 以外的其他端口（此时的!表示取反）
-A INPUT -p tcp ! --dport 8080 -j ACCEPT
-A INPUT -p tcp ! --dport 8082 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

（说明：! 是表示取反，注意 ! 两侧是有空格的，否则，会报错）

方式2（简洁配置）：

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# 配置白名单中的源IP（10.105.211.10，10.105.211.11，10.105.211.12）
-N whitelist 
-A whitelist -s 10.105.211.10,10.105.211.11,10.105.211.12 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT

# 白名单中的机器允许访问 UDP端口 111和123
-A INPUT -m state --state NEW -p udp -m multiport --dport 111, 123 -j whitelist

# 白名单中的机器允许访问 TCP端口 3306
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist

# 其他机器允许访问 除了TCP端口 8080和 8082 以外的其他端口（此时的!表示取反）
-A INPUT -p tcp -m multiport ! --dport 8080,8082 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

（说明：-m multiport 表示同时对多个端口操作；另外，多个IP或者多个端口之间，使用英文的逗号隔开，且中间不能有空格，否则，启动 iptables 服务会报错）

iptables 文件配置完，执行如下步骤：

1、保存 iptables 配置，命令如下：

service iptables save

2、重载 iptables 文件

systemctl reload iptables

或者 

service iptables reload

3、重启 iptables 服务，命令如下：

systemctl restart iptables

或者

service iptables restart

4、查看 iptables 服务状态（服务状态为绿色的 active，表示 iptables 文件配置成功，服务正常）：

systemctl status iptables

或者

service iptables status