Linux防火墙设置-DNS服务器篇

     亲测可用，对于刚刚搭建了DNS服务器，需要开启防火墙但又不知道该怎么设置的朋友，可以参考下面的内容，或者直接使用我下面给出的脚本程序。

    如果服务器是作为DNS服务器使用的，针对绝大多数的情况，为了开启防火墙同时又能正常地提供相关的服务，一般的设置如下：

【1】第一步：清除默认防火墙规则

·参数说明：

-F：清除所有的已制定的规则

-X：清除所有用户自定义的chain（应该说的是tables）

（扩展：table--Linux的iptables防火墙默认有三种表，Filter、NAT与Mangle，当然还有自定义的，其中Filter即是默认使用的表格，chain--条链，比如filter有INPUT、OUTPUT、FORWARD三条链）

-Z：将所有的chain的计数与流量统计清零

·设置原因：

filter的三条链中，默认策略都为ACCEPT，显然对于INPUT来说，这是很危险的，可以使用命令iptables -L -n来查看默认设置，或者使用iptables-save命令（会列出更详细的防火墙配置信息）。

【2】第二步：设置策略

·设置原因：

DROP为丢弃，由1中可知，INPUT策略制定为DROP时才比较安全。

【3】第三步：根据所需服务制定各项规则

（1）将本机设置为信任设备

（2）制定ssh远程连接规则

（3）制定dns服务规则

·说明：

允许新的dns请求，同时允许以nslookup的方式来向服务器查询，即以源端口号53来查询dns信息。

（4）制定其它规则

·说明：

可不用，但为了方便检测服务器的网络连通性，所以还是加上。

【4】写入防火墙配置文件

·说明：

要保存，否则重启服务器后上面所做的配置会失效。

完整的执行脚本如下：

保存为.sh文件，以管理员权限执行即可。

其它常用命令：

查看防火墙简要配置

查看防火墙详细配置

重要说明：

    进行防火墙的配置一定要格外小心，特别在远程做配置时，如果不小心清除了已定义的规则，又把默认的INPUT规则设置为DROP，这时就没有办法远程连接了，这点特别要注意。

本文转自 xpleaf 51CTO博客，原文链接：http://blog.51cto.com/xpleaf/1707025，如需转载请自行联系原作者