xenserver的iptables一些基础安全设置

在xenserver运行过程中，会遇到各种攻击，暴力破解服务器的密码等等，如何做好服务器的一些安全呢，可以通过iptables进行一些简单设置。

注意：关于iptables表，表里面的规则都是从上到下执行的，意思就是说，您在上面允许了一个IP，但是在下面确禁止了这个IP，那么这个时候，禁止这个IP这条规则是无效的。

（一）使用iptables表禁止某个IP访问。

首先查看一下xenserver服务器的默认iptables表，会看到里面已经存在一些规则了。

1. cat /etc/sysconfig/iptables

 

其次，使用vi编辑器编辑iptables表，在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条禁止IP的规则，当然您也可以禁止某个IP段。

1.  vi /etc/sysconfig/iptables

1.  -A INPUT -s 192.168.11.176 -p tcp -m tcp -j DROP

 

禁止某个IP段，比如禁止192.168.11.0/24这个段。

1.  -A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j DROP

最后，保存一下，重启iptables，就可以看到，被禁止这个IP已经无法访问服务器了。

1.  service iptables restart

(二）只允许某个IP或者IP段访问服务器。

首先，我们看到xenserver服务器中，已经有规则允许访问的端口了，首先我们要把这些允许的端口注释或者删除，如下图。

 

其次，在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条允许IP或者IP段的规则。
允许单个IP：

1.  -A INPUT -s 192.168.11.177 -p tcp -m tcp -j ACCEPT

允许某个IP段：

1.  -A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j ACCEPT

 

最后重启一下iptables表，就可以看到只有您允许的IP才可以访问服务器，其他的都无法访问了。


（三）单独禁止某个端口进行访问，在国内有部分机房，由于备案的原因，不让80端口进行访问，也是可以通过80端口进行调整的，只要删除或者注释掉80允许端口访问的规则即可。


 

重启iptables表之后就可以看到，已经无法打开服务器的默认网页了。