XenServer的iptables(防火墙)安全设置
在XenServer运维中,会遇到各种攻击,暴力破解服务器的密码等等,如何做好服务器的一些安全呢,可以通过iptables进行简单防御。
备注:XenSystem云平台和XenServer通讯是通过22(SSH默认端口),443这2个端口通讯的,其中443端口不能修改,22端口可以修改。
实例规则一:禁止某个IP访问。
- 01
首先查看一下xenserver服务器的默认iptables表,会看到里面已经存在一些规则了。 命令:cat /etc/sysconfig/iptables
- 02
编辑器编辑iptables表,在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条禁止IP的规则,当然您也可以禁止某个IP段。 编辑命令:vi /etc/sysconfig/iptables iptables规则:-A INPUT -s 192.168.11.176 -p tcp -m tcp -j DROP
- 03
禁止某个IP段,比如禁止192.168.11.0/24这个段。 iptables规则:-A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j DROP 保存,重启iptables,被禁止这个IP已经无法访问服务器了。 命令:service iptables restart
实例规则二:只允许某个IP或者IP段访问服务器。
- 01
XenServer服务器中,已经有规则允许访问的端口了,首先我们要把这些允许的端口注释或者删除,如下图。
- 02
在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条允许IP或者IP段的规则。 允许单个IP规则: -A INPUT -s 192.168.11.177 -p tcp -m tcp -j ACCEPT 允许某个IP段规则: -A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j ACCEPT
- 03
重启iptables表,只有允许的IP才可以访问服务器,其他的都无法访问了。
实例规则三:单独禁止某个端口进行访问
- 01
在国内有部分机房,由于备案的原因,不让80端口进行访问,也是可以通过80端口进行调整的,只要删除或者注释掉80允许端口访问的规则即可。
- 02
重启iptables表之后就可以看到,已经无法打开服务器的默认网页了。