Linux RHEL/CentOS 6/7防火墙白名单设置教程

在Linux环境下，特别是RHEL 6和CentOS 7版本中，管理防火墙策略是确保网络安全的重要环节。本文将详细介绍如何在这些系统上设置防火墙白名单，以限制只允许特定IP地址访问系统服务。 首先，我们了解到防火墙规则通常存储在`/etc/sysconfig/iptables`文件中。这个文件是iptables（Internet Protocol Table）配置文件，它是Linux内核自带的包过滤防火墙工具。为了创建一个白名单，你需要遵循以下步骤： 1. **打开iptables配置文件**： 使用文本编辑器`vi`（在终端输入`sudo vi /etc/sysconfig/iptables`）来打开该配置文件。注意，这里提到的是`system-config-securitylevel`自动生成的配置，手动修改可能不被推荐。 2. **查看或添加白名单规则**： 在文件中找到`N whitelist`这一部分，这是白名单规则块的起始。`N`表示新的规则链。添加以下规则： ``` -A whitelist -s IP地址 -j ACCEPT ``` 例如，替换`IP地址`为`10.202.106.1`到`10.202.106.7`，表示允许这些IP地址通过防火墙。重复此模式，根据实际需求添加所有需要的IP地址。 3. **添加默认规则**： 在白名单规则之后，你需要将这些白名单IP添加到全局规则中，以便它们对`INPUT`, `FORWARD`, 和`RH-Firewall-1-INPUT`等其他链也有作用。这可以通过添加类似下面的规则实现： ``` -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT ``` 4. **处理特定端口和服务**： 如果有特定的服务需要允许，比如ICMP类型、UDP或TCP端口，可以添加相应的规则，如： ``` -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -j ACCEPT ``` 5. **允许已建立连接和相关连接**： 保持网络通信的连续性，应允许已建立的连接和相关的数据包通过，使用`-m state --state ESTABLISHED,RELATED -j ACCEPT`。 6. **保存并应用更改**： 完成编辑后，保存文件并应用新规则。使用以下命令： ``` sudo service iptables save sudo service iptables restart ``` 通过以上步骤，你已经在Linux（RHEL 6和CentOS 7）环境中设置了防火墙白名单，只允许指定的IP地址和相关服务进行通信，增强了系统的安全性。务必定期检查和更新白名单，以适应网络环境的变化。