在XenServer运维中,会遇到各种攻击,暴力破解服务器的密码等等,如何做好服务器的一些安全呢,可以通过iptables进行简单防御。备注:XenSystem云平台和XenServer通讯是通过22(SSH默认端口),443这2个端口通讯的,其中443端口不能修改,22端口可以修改。
工具/原料
putty
实例规则一:禁止某个IP访问。
1、首先查看一下xenserver服务器的默认iptables表,会看到里面已经存在一些规则了。命令:cat /etc/sysconfig/iptables
2、编辑器编辑iptables表,在:RH-Firewall-1-INPUT - 职邗珩垃[0:0] 规则下面添加一条禁止IP的规则,当然您也可以禁止某个IP段。编辑命令:vi /etc/sysc泠贾高框onfig/iptablesiptables规则:-A INPUT -s 192.168.11.176 -p tcp -m tcp -j DROP
3、禁止厢咆廨炝某个IP段,比如禁止192.168.11.0/24这个段。iptables规则:-A INPUT -s 192.168.11.0/24 -p tcp -m t艘早祓胂cp -j DROP保存,重启iptables,被禁止这个IP已经无法访问服务器了。命令:service iptables restart
实例规则二:只允许某个IP或者IP段访问服务器。
1、XenServer服务器中,已经有规则允许访问的端口了,首先我们要把这些允许的端口注释或者删除,如下图。
2、在:RH-Firewall-1-INPUT - [0:0] 规则下面添加一条允许IP或者IP段的规则。允许单个IP规则:-A INPUT -s 192.168.11.177 -p tcp -m tcp -j ACCEPT允许某个IP段规则:-A INPUT -s 192.168.11.0/24 -p tcp -m tcp -j ACCEPT
3、重启iptables表,只有允许的IP才可以访问服务器,其他的都无法访问了。
实例规则三:单独禁止某个端口进行访问
1、在国内有部分机房,由于备案的原因,不让80端口进行访问,也是可以通过80端口进行调整的,只要删除或者注释掉80允许端口访问的规则即可。
2、重启iptables表之后就可以看到,已经无法打开服务器的默认网页了。