背景: 一般為提升專案部署服務的安全性,避免客戶對產品漏掃造成不必要的麻煩,對外專案部署時必須開啟防火墻,
- 服務器SSHD默認22埠修改為其他自定義埠(自定義埠設定時盡量向后定義);
a) 執行 vim /etc/ssh/sshd_config
b) 修改#Prot 22 為 Prot xxxx;:wq保存并退出,
c) 執行 /etc/init.d/sshd restart 重啟sshd服務
d) 測驗:使用ssh工具連接該埠
2. 開啟防火墻并設定開機自啟防火墻;
[root@xdja ~]systemctl start firewalld.service #開啟防火墻
[root@xdja ~]systemctl enable firewalld.service #設定開機自啟防火墻3. 將所有業務服務埠、服務器SSHD埠添加防火墻白名單;
例: 將8080埠加到白名單
[root@xdja ~] firewall-cmd --permanent --add-port=8080/tcp #8080埠加到白名單
[root@xdja ~] firewall-cmd --reload #生效規則
[root@xdja ~] firewall-cmd --list-ports #查看防火墻埠白名單
[root@xdja ~] firewall-cmd --zone=public --remove-port=8080/tcp –permanent #洗掉白名單執行:
4. 配置rich-rule規則實作部分埠的訪問ip控制,例如常用的mysql服務如果非僅本機訪問需要設定訪問機器IP,如涉及主從同步,需額外增加從資料庫IP訪問,
例指定192.168.241.10/32能訪問mysql 3306埠:
[root@xdja ~] firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.241.10/32" port protocol="tcp" port="3306" accept" #指定訪問
[root@xdja ~] firewall-cmd --reload #生效規則
[root@xdja ~] firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.241.10/32" port protocol="tcp" port="3306" accept" #洗掉訪問源控制
執行
補充:
firewalld的基本使用
- 啟動: systemctl start firewalld
- 查看狀態: systemctl status firewalld || systemctl status firewalld.service || firewall-cmd --state
- 停止: systemctl disable firewalld
- 禁用: systemctl stop firewalld
使用防火墻策略限制訪問必須保證firewalld.service服務是正常運行的,
新年新氣象,2021沖沖沖!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/244771.html
標籤:其他
下一篇:【惡搞】讓鄰居永遠上不了網~