Linux服務器防火牆白名單設置

　公司最近對網絡安全抓的比較嚴，要求防火牆必須開啓，可是項目的服務器有五六臺，三臺用於負載均衡，服務器之間必需要進行各類鏈接，那就只能經過添加白名單的方式。

　　登上服務器，編輯防火牆配置文件

　　vi /etc/sysconfig/iptables

　　把須要訪問本臺服務器的其餘服務器ip地址，以及本臺服務器須要開放的端口號添加上

　　以下：

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#這裏開始增長白名單服務器ip(請刪除當前服務器的ip地址)
-N whitelist
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
-A whitelist -s 192.168.111.xxx -j ACCEPT
#這裏結束白名單服務器ip
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13020 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1000:8000 -j ACCEPT  //開放1000到8000之間的全部端口
//上面這些 ACCEPT 端口號，公網內網均可以訪問

//下面這些 whitelist 端口號，僅限服務器之間經過內網訪問
#這裏添加爲白名單ip開放的端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 13009 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10080 -j whitelist
#這結束爲白名單ip開放的端口
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

編輯完以後，別忘了重啓防火牆

　　service iptables restart

 

轉自：http://www.cnblogs.com/yashi/p/7550669.html