XenServer的iptables(防火墙)安全设置

XenServer的iptables（防火墙）安全设置

在XenServer运维中，会遇到各种攻击，暴力破解服务器的密码等等，如何做好服务器的一些安全呢，可以通过iptables进行简单防御。

备注：XenSystem云平台和XenServer通讯是通过22（SSH默认端口），443这2个端口通讯的，其中443端口不能修改，22端口可以修改。

小知识：关于iptables表，表里面的规则都是从上到下执行的，意思就是说，您在上面允许了一个IP，但是在下面确禁止了这个IP，那么这个时候，禁止这个IP这条规则是无效的。

实例规则一：禁止某个IP访问。

首先查看一下xenserver服务器的默认iptables表，会看到里面已经存在一些规则了。

命令：cat /etc/sysconfig/iptables

编辑器编辑iptables表，在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条禁止IP的规则，当然您也可以禁止某个IP段。

编辑命令：vi /etc/sysconfig/iptables

iptables规则：-A INPUT -s 192.168.11.176 -p tcp -m tcp -j DROP

禁止某个IP段，比如禁止192.168.11.0/24这个段。

iptables规则：-A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j DROP

保存，重启iptables，被禁止这个IP已经无法访问服务器了。

命令：service iptables restart

实例规则二：只允许某个IP或者IP段访问服务器。

XenServer服务器中，已经有规则允许访问的端口了，首先我们要把这些允许的端口注释或者删除，如下图。

在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条允许IP或者IP段的规则。

允许单个IP规则：

-A INPUT -s 192.168.11.177 -p tcp -m tcp -j ACCEPT

允许某个IP段规则：

-A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j ACCEPT

重启iptables表，只有允许的IP才可以访问服务器，其他的都无法访问了。

实例规则三：单独禁止某个端口进行访问

在国内有部分机房，由于备案的原因，不让80端口进行访问，也是可以通过80端口进行调整的，只要删除或者注释掉80允许端口访问的规则即可。

重启iptables表之后就可以看到，已经无法打开服务器的默认网页了。