Linux服务器端口控制：iptables禁止默认登陆，仅开放22端口

在Linux系统中，iptables是一种强大的包过滤工具，用于管理网络连接，特别是对于服务器的安全性和端口访问控制至关重要。本文主要讲述了如何利用iptables配置Linux系统，以禁止所有端口的登陆（默认的DROP策略），同时只开放特定的端口。 首先，要实现这个目标，你需要执行以下命令来分别设置INPUT、FORWARD和OUTPUT链的策略为DROP，只允许TCP协议的22（SSH）、53（DNS）和80（HTTP）端口： 1. 对于INPUT链： ``` iptables -P INPUT DROP ``` 2. 对于FORWARD链： ``` iptables -P FORWARD DROP ``` 3. 对于OUTPUT链： ``` iptables -P OUTPUT DROP ``` 使用`iptables -L -n`检查当前规则，确认所有端口都被设为DROP状态。然而，这些设置是临时的，重启服务器后会恢复到默认配置，因此需要进行持久化保存。通过运行`service iptables save`命令将规则写入 `/etc/sysconfig/iptables` 文件中，这是iptables配置的主要存储位置。 对于只开放22端口的示例，可以使用`-A`（append，追加）选项添加两条规则： - 对于INPUT链： ``` iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 这条规则允许从任何源IP地址连接到22端口。 - 对于OUTPUT链： ``` iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT ``` 这条规则允许22端口的数据包从服务器发送出去。 DNS（53端口）通常使用UDP协议，所以如果需要开放DNS服务，应使用`-p udp`而不是`-p tcp`。例如，开放DNS服务的规则会是： ``` iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --sport 53 -j ACCEPT ``` 最后，为了确保防火墙设置被正确保存并在重启后生效，记得执行`service iptables save`。这样，你的Linux服务器就实现了安全性的提升，仅允许必要的服务端口与外部通信。 总结起来，iptables提供了灵活的网络访问控制，通过调整策略和规则，可以有效地保护Linux服务器，只允许特定的TCP和UDP端口进行数据传输。记住定期审查和更新这些规则，以适应不断变化的网络需求。