硬件节点和VPS内如何配置防火墙

　　问题

　　硬件节点和VPS内如何配置防火墙

　　解决方案

　　在Linux的virtuozzo服务器物理节点和VPS都可以使用iptables防火墙

　　原有的iptables防火墙被升级成为双向防火墙

　　所以，按照一般的规则来设置允许22端口连接等会不能生效

　　双向防火墙的配置请参考如下文档：

　　http://www.swsoft.com.cn/downloads/Virtuozzo/vzlinux_firewall.pdf

　　在安装Virtuozzo的时候，物理节点原来的iptables可以不用关闭

　　保持其原来的状态直接安装即可

　　安装过程中，virtuozzo就会升级系统的iptables包

　　安装好之后如果什么都修改，则iptables是空的，允许所有访问进入的状态

　　即相当于防火墙关闭了

　　需要按照上述文档配置iptables，也可以直接复制下边的例子

　　下边是VPS都可用配置例子：（只开放了22端口）

　　vi /etc/sysconfig/iptables（如果文件不存在就创建）

　　############################################################

　　*filter

　　:INPUT DROP [0:0]

　　:FORWARD DROP [0:0]

　　:OUTPUT DROP [0:0]

　　# vz policy

　　:VZ_FORWARD - [0:0]

　　:VZ_INPUT - [0:0]

　　:VZ_OUTPUT - [0:0]

　　# allow all icmp

　　-A INPUT -p icmp -j ACCEPT

　　-A INPUT -j VZ_INPUT

　　-A FORWARD -p icmp -j ACCEPT

　　-A FORWARD -j VZ_FORWARD

　　-A OUTPUT -p icmp -j ACCEPT

　　-A OUTPUT -j VZ_OUTPUT

　　# vz rules

　　# allow ssh

　　-A VZ_INPUT -p tcp -m tcp --dport 22 -j ACCEPT

　　# allow outgoing connection

　　-A VZ_INPUT -p tcp -m tcp --dport 32768:65535 -j ACCEPT

　　-A VZ_INPUT -p udp -m udp --dport 32768:65535 -j ACCEPT

　　-A VZ_OUTPUT -p tcp -j ACCEPT

　　-A VZ_OUTPUT -p udp -j ACCEPT

　　COMMIT

　　############################################################

　　配置的重点在于，双向防火墙需要允许高端端口进入，即必须有如下两条：

　　-A VZ_INPUT -p tcp -m tcp --dport 32768:65535 -j ACCEPT

　　-A VZ_INPUT -p udp -m udp --dport 32768:65535 -j ACCEPT

　　否则这个vps的网络向内或者向外都不能访问

　　下边是硬件节点配置的例子：

　　############################################################

　　*filter

　　:INPUT ACCEPT [0:0]

　　:FORWARD ACCEPT [0:0]

　　:OUTPUT ACCEPT [0:0]

　　:VZ_FORWARD - [0:0]

　　:VZ_INPUT - [0:0]

　　:VZ_OUTPUT - [0:0]

　　-A INPUT -p icmp -j ACCEPT

　　-A INPUT -j VZ_INPUT

　　-A FORWARD -p icmp -j ACCEPT

　　-A FORWARD -j VZ_FORWARD

　　-A OUTPUT -p icmp -j ACCEPT

　　-A OUTPUT -j VZ_OUTPUT

　　COMMIT

　　############################################################