第六节：Centos7 strongswan iptables 配置

更新日期：2018年4月23日

本系列教程制作了视频教程，可以打开这个链接查看，《自己一键搭建VPN服务器》 

1、安全项目修改

1）修改ssh端口

vi /etc/ssh/sshd_config

去掉port 22 前面的注释

去掉PermitRootLogin yes前面的注释

systemctl restart sshd

2）修改http端口

vi /etc/httpd/conf/httpd.conf

将其中的80端口修改为9091

systemctl restart httpd

2、配置ip转发

vi /etc/sysctl.conf

增加如下内容

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding=1

保存退出，执行如下命令

sysctl -p

3、安装配置iptables

yum install iptables-services
systemctl start iptables.service

4、编辑启动脚本

说明：通过systemctl enable radiusd 开机启动freeradius异常，通过日常查看radiusd需要首先启动mariadb，因此在启动脚本中手工设置启动的顺序而不使用 systemctl enable radiusd

chmod +x /etc/rc.d/rc.local
vi /etc/rc.local

加入如下内容

systemctl start mariadb
systemctl start httpd
systemctl start radiusd
systemctl start strongswan
systemctl start iptables
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT  #允许ping服务器
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 9091 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1812 -j ACCEPT  #radius 认证 外部连接时用
iptables -A INPUT -p udp -m udp --dport 1813 -j ACCEPT  #radius 计费 外部连接时用
iptables -A INPUT -p esp -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -P INPUT DROP
iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

reboot 重启进行测试