[关闭]
@Mr-13 2020-06-11T07:14:48.000000Z 字数 5155 阅读 101

短信平台(WL)需要开放的端口及iptables策略

未来无线

一、Linux系统要求

系统版本要求:CentOS6.5~6.8;

二、磁盘空间检查

三、平台需要开放的端口列表如下:

端口号 端口说明 策略
22 SSH端口 INPUT白名单策略
31 同22端口 INPUT白名单策略
1158 Oracle管理组件端口 INPUT名单策略
1521 Oracle数据库远程端口 INPUT白名单策略
5003 在平台部署时需要开放,部署完成后关闭
5901 vnc端口 在平台部署时开放,用于部署数据库,部署完成后关闭
6379 redis端口 如果是单台服务器部署,则不需要开放外网
8080 平台管理端访问端口 开放
8090/8099 平台客户端访问端口 开放
8807 平台部署时开放,部署完毕后关闭
8808 SGIP1.2 MO消息接收端口 运营商/通道商白名单策略
8855 CMPP2 服务端端口 开放,一般向客户提供的主要对接协议是CMPP2、HTTP,不要关闭
8856 CMPP3 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8857 SGIP1.2 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8858 SMPP3.4 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8859 SMGP2 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8860 HTTP 服务端端口 开放
8861 HTTP2 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8862 HTTPS 服务端端口 开放,如果不为客户提供该协议接口,可以关闭
8701~8752 对接第三方服务商接口时,可能会用到这些端口接收状态报告和上行信息 默认关闭即可,需要时但是开放


1. iptables文件

iptables文件位置:/etc/sysconfig/iptables,请现将iptables内容清空,完整复制保存下面的配置内容。
再重启防火墙生效 [root@st-cent ~]# service iptables restart

  1. # Generated by iptables-save v1.4.7 on Mon Mar 12 18:58:54 2018
  2. *filter
  3. :INPUT DROP [0:0]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [406759:54493316]
  6. :MANAGEMENT - [0:0]
  7. :SGIP12CUS - [0:0]
  8. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
  9. -A INPUT -i lo -j ACCEPT 
  10. -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
  11. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
  12. -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
  13. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
  14. -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT 
  15. -A INPUT -p tcp -m tcp --dport 8099 -j ACCEPT 
  16. -A INPUT -p tcp -m tcp --dport 8808 -j SGIP12CUS 
  17. -A INPUT -p tcp -m tcp --dport 8861 -j ACCEPT 
  18. -A INPUT -p tcp -m tcp --dport 22 -j MANAGEMENT 
  19. -A INPUT -p tcp -m tcp --dport 31 -j MANAGEMENT 
  20. -A INPUT -p tcp -m tcp --dport 1158 -j MANAGEMENT 
  21. -A INPUT -p tcp -m tcp --dport 1521 -j MANAGEMENT 
  22. -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT 
  23. -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT 
  24. -A INPUT -p tcp -m tcp --dport 8855:8860 -m state --state NEW -j ACCEPT 
  25. -A INPUT -j REJECT --reject-with icmp-host-prohibited  
  26. -A FORWARD -j REJECT --reject-with icmp-host-prohibited 
  27. -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
  28. -A OUTPUT -p icmp -m icmp ! --icmp-type 0 -j DROP 
  29. -A OUTPUT -p udp -j DROP 
  30. -A MANAGEMENT -s 118.26.10.53/32 -j ACCEPT 
  31. -A MANAGEMENT -s 112.253.8.146/32 -j ACCEPT 
  32. COMMIT
  33. # Completed on Mon Mar 12 18:58:54 2018

重启防火墙服务生效后,查看iptables状态 service iptabes status 应如下:

  1. 表格:filter
  2. Chain INPUT (policy DROP)
  3. num  target     prot opt source               destination         
  4. 1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  5. 2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
  6. 3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
  7. 4    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 
  8. 5    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW 
  9. 6    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F 
  10. 7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
  11. 8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8099 
  12. 9    SGIP12CUS  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8808 
  13. 10   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8861 
  14. 11   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
  15. 12   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:31 
  16. 13   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1158 
  17. 14   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1521 
  18. 15   ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:6379 
  19. 16   ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:11211 
  20. 17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:8855:8860 state NEW 
  21. 18   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
  23. Chain FORWARD (policy ACCEPT)
  24. num  target     prot opt source               destination         
  25. 1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
  27. Chain OUTPUT (policy ACCEPT)
  28. num  target     prot opt source               destination         
  29. 1    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0 
  30. 2    DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp !type 0 
  31. 3    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           
  33. Chain MANAGEMENT (4 references)
  34. num  target     prot opt source               destination         
  35. 1    ACCEPT     all  --  118.26.10.53         0.0.0.0/0           
  36. 2    ACCEPT     all  --  112.253.8.146        0.0.0.0/0           
  38. Chain SGIP12CUS (1 references)
  39. num  target     prot opt source               destination

2. iptables规则说明

  1. :INPUT DROP [0:0]
  2. :FORWARD ACCEPT [0:0]
  3. :OUTPUT ACCEPT [406759:54493316]
  4. :MANAGEMENT - [0:0]
  5. :SGIP12CUS - [0:0]
  • INPUT:默认DROP,仅对需要开放的端口或指定IP做ACCEPT策略;
  • FORWARD、OUTPUT:默认ACCEPT
  • MANAGEMENT:自建链,用于管理对SSH、数据库等有访问权限的IP地址;一般会添加对平台进行运维操作的指定IP
  • SGIP12CUS:自建链(预留),指定能够访问8808端口的IP地址,8808端口仅用于SGIP1.2协议接收运营商/上机通道商发送的状态报告和MO消息。


  1. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
  2. -A INPUT -i lo -j ACCEPT 
  3. -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
  4. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
  5. -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
  6. -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
  7. -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
  8. -A OUTPUT -p icmp -m icmp ! --icmp-type 0 -j DROP 
  9. -A OUTPUT -p udp -j DROP
  • 1 允许本机进程相关的业务包、已经建立连接的业务包数据进入;
  • 2 允许loopback
  • 3 允许接收ping请求包
  • 4 丢弃5个标记为都置0的TCP包
  • 5 丢弃SYN标记不为1的请求新建立链接的包
  • 6 丢弃5个标记位都置1的包
    4~6目的是预防SYN攻击。
  • 7 OUTPUT 允许ping响应包
  • 8 OUTPUT 拦截除了ping响应包之外的所有icmp协议包
  • 9 OUTPUT 拦截其他的udp包


  1. -A MANAGEMENT -s 118.26.10.53/32 -j ACCEPT 
  2. -A MANAGEMENT -s 112.253.8.146/32 -j ACCEPT
  4. -A INPUT -p tcp -m tcp --dport 22 -j MANAGEMENT 
  5. -A INPUT -p tcp -m tcp --dport 31 -j MANAGEMENT 
  6. -A INPUT -p tcp -m tcp --dport 1158 -j MANAGEMENT 
  7. -A INPUT -p tcp -m tcp --dport 1521 -j MANAGEMENT 
  8. -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT 
  9. -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT 
  10. -A INPUT -p tcp -m tcp --dport 8855:8860 -m state --state NEW -j ACCEPT 
  11. -A INPUT -j REJECT --reject-with icmp-host-prohibited  
  12. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  • 1/2 添加管理地址白名单IP,以上的两个IP地址是我司的平台运维管理IP,请注意添加。
  • 4~7 授权MANAGEMENT链中的地址,对22/31/1158/1521端口的访问
  • 8/9 redis:6379端口、memcache:11211端口:因为是单机部署,不需要开放外网,这里设置只允许内网访问
  • 10 开放8855~8860端口,允许新建链接请求
  • 11/12 拒绝不在以上任何一条规则允许的数据包,并发送一条 host prohibited 消息给被拒绝的主机。
添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注