CentOS iptables配置笔记

针对网站近期被入侵的现状，对iptables做以下设置，提升服务器安全性能
（1）屏蔽所有端口
（2）把SSH的缺省端口设置为56565
（3）把56565、80、3306端口打开
（4）把3306端口设置为只允许本机访问
如果没有安装iptables的话，运行命令yum install iptables完成iptables安装
初始化安装以后，显示为以下信息：
[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
（1）屏蔽所有端口
[root@tp ~]# iptables -F
[root@tp ~]# iptables -X
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT DROP
[root@tp ~]# iptables -P FORWARD DROP
当 超出了IPTABLES里filter表里的两个链规则 (INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)，有同学喜欢配置OUTPUT为accpet，因为如果 被入侵，对方可以使用服务器做为中转，发起攻击，也会产生大量的数据包，所以这里配置为DROP
（2）把SSH的缺省端口设置为56565
在修改ssh端口时，应先把要修改的端口号56565加入白名单
[root@tp ~]# iptables -A INPUT -p tcp --dport 56565 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 56565 -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
[root@tp ~]# service iptables restart
再修改端口号
[root@linux ~]# vi /etc/ssh/sshd_config
将"#Port 22"修改为"Port 56565"
重启ssh服务
[root@linux ~]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
如果想看看sshd端口号是否修改成功的话，可以使用 netstat -an 命令查看一下或退出ssh使用新端口号登陆尝试。
（3）把80端口打开
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
[root@tp ~]# service iptables restart
（4）把3306端口设置为只允许本机访问
[root@tp ~]#/sbin/iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
[root@tp ~]#/sbin/iptables -A OUTPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
至此，完成CentOS iptables配置，此配置可提升服务器安全性能，过滤掉一些常见的linux攻击，对于少量爆超管系统权限的linux 0day攻击，也只能算走运了。