（1）屏蔽所有端口

（2）把SSH的缺省端口设置为56565

（3）把56565、80、3306端口打开

（4）把3306端口设置为只允许本机访问

如果没有安装iptables的话，运行命令yum install iptables完成iptables安装

初始化安装以后，显示为以下信息：

[root@tp ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

（1）屏蔽所有端口

[root@tp ~]# iptables -F

[root@tp ~]# iptables -X

[root@tp ~]# iptables -P INPUT DROP

[root@tp ~]# iptables -P OUTPUT DROP

[root@tp ~]# iptables -P FORWARD DROP

当超出了IPTABLES里filter表里的两个链规则 (INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)，有同学喜欢配置OUTPUT为accpet，因为如果被入侵，对方可以使用服务器做为中转，发起攻击，也会产生大量的数据包，所以这里配置为DROP

（2）把SSH的缺省端口设置为56565

在修改ssh端口时，应先把要修改的端口号56565加入白名单

[root@tp ~]# iptables -A INPUT -p tcp --dport 56565 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 56565 -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

[root@tp ~]# service iptables restart

再修改端口号

[root@linux ~]# vi /etc/ssh/sshd_config

将"#Port 22"修改为"Port 56565"

重启ssh服务

[root@linux ~]# /etc/init.d/sshd restart

Stopping sshd: [ OK ]

Starting sshd: [ OK ]

如果想看看sshd端口号是否修改成功的话，可以使用 netstat -an 命令查看一下或退出ssh使用新端口号登陆尝试。

（3）把80端口打开

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

[root@tp ~]# service iptables restart

（4）把3306端口设置为只允许本机访问

[root@tp ~]#/sbin/iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

[root@tp ~]#/sbin/iptables -A OUTPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。