SlatStack配置之iptables以及相关问题

背景:安装完saltstack之后想配置iptables防火墙,保证服务器安全,但是配起来才发现问题不断
1.1 第一个问题iptables安装
1.1.1 系统版本是Centos7,需要用yum安装iptables
yum install iptables
yum install iptables-services.x86_64
1.1.2 关闭移除firewalld
systemctl mask firewalld
yum remove firewalld
1.1.3 备份
cp –rp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
1.1.4 启动
service iptables start
1.1.5 清除原策略(请先把ssh端口配置策略写在定时任务里)
ptables -F    <- 清空iptables所有规则信息(清除filter)
ptables -X    <- 清空iptables自定义链配置(清除filter)
ptables -Z    <- 清空iptables计数器信息(清除filter)
1.1.6 配置策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
1.1.7 开通22号端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
1.1.8 开通4505和4506端口
iptables -A INPUT -p tcp --dport 4505 -j ACCEPT
iptables -A INPUT -p tcp --dport 4506 -j ACCEPT

1.2 第二个问题iptables策略问题
配置完上面策略之后,用salt '*' test.ping
Salt request timed out. The master is not responding. If this error persists after verifying the master is up, worker_threads may need to be increased.
最后发现需要配置状态机制,允许所有已经建立的和相关的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
之后发现
salt '*' test.ping
正常了

1.3 第三个问题ping问题
我发现用其它的服务器ping本台服务器不通
添加以下策略,允许其它机器ping通防火墙
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

写到/etc/sysconfig/iptables
service iptables save

 

posted @ 2019-06-24 16:33  Frank-hui  阅读(261)  评论(0编辑  收藏  举报