iptables是Linux类服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置。
iptables -P INPUT ACCEPT iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -L -v
这样能够保证SSH的22端口得到合法的通行,最后执行service iptables save,将刚才的配置保存。
通过cat /etc/sysconfig/iptables可以查看iptables配置文件的信息,今后可以通过直接编辑该文件,增删配置条目。
查看运行着的iptables的规则指令为:lsmod | grep ip_tables或iptables -L。
小编再补充一个知识点:防简单攻击iptables策略
#!/bin/sh IPTABLES=/sbin/iptables # clear $IPTABLES -F # if pkg type is allow, then accept #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 如果同时在80端口的连接数大于10,就Drop掉这个ip netstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\ '$1>10 && $2!="" { print $2 }' >> /etc/fw.list less /etc/fw.list | sort | uniq -c | awk -F\ '$2!="" { print $2 }' > /etc/fw.list2 less /etc/fw.list2 > /etc/fw.list while read line do t=`echo "$line"` $IPTABLES -A INPUT -p tcp -s $t -j DROP done < /etc/fw.list2 # IP转发 $IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT $IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT $IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002 $IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44 # if pkg visit 80,7710 port then accept $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT # $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT $IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT # if pkg from allow ip then accept $IPTABLES -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT # if pkg not above then deny $IPTABLES -A INPUT -p tcp --syn -j DROP 下面这个防火墙测试结果更正确,能起到一定的防攻击的功能 #!/bin/sh IPTABLES="/sbin/iptables" echo "1" > /proc/sys/net/ipv4/ip_forward $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP $IPTABLES -F $IPTABLES -X $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT $IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT $IPTABLES -A INPUT -p tcp --syn -j DROP
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小牛知识库。
本文向大家介绍阿里云Centos配置iptables防火墙教程,包括了阿里云Centos配置iptables防火墙教程的使用技巧和注意事项,需要的朋友参考一下 虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则 一、检查iptables服务状态 首先检查iptables服
本文向大家介绍CentOS 7下配置ntp服务的方法教程,包括了CentOS 7下配置ntp服务的方法教程的使用技巧和注意事项,需要的朋友参考一下 前言 对于校园网/企业用户,如果您网内所有计算机都通过互联网同步时间,在速度和精度上都有一定的折扣,并且对互联网出口带宽也有一定的影响,对于这类用户,我们建议通过自己搭建ntp服务为内部用户提供时间同步服务。 本文介绍的是在CentOS 7下配置ntp
本文向大家介绍windows2003下ftp服务器配置教程,包括了windows2003下ftp服务器配置教程的使用技巧和注意事项,需要的朋友参考一下 本文目标: 本机(win10)和虚拟机(windows server 2003)之间实现ftp文件传输往来,并通过wireshark来分析协议。 本文先介绍如何在windows server 2003配置ftp服务器。 第一步、创建windows2
本文向大家介绍Tomcat服务器安装配置教程(win7),包括了Tomcat服务器安装配置教程(win7)的使用技巧和注意事项,需要的朋友参考一下 学习了一个月的java基础,终于要迈向java web领域。学习java web开发就离不开服务器的支持,由于本人是菜鸟,只好求助度娘谷哥。在此,把本人成功配置的步骤分享出来。 工具/原料 jdk-7u45-windows-x64(我的系统是64位系统
本文向大家介绍阿里云服务器ubuntu 配置教程,包括了阿里云服务器ubuntu 配置教程的使用技巧和注意事项,需要的朋友参考一下 由于阿里云的导入自定义 ubuntu 镜像需要开通 OSS 快照是收费的(看着感觉不贵,但是也很麻烦),而且自己已配置好的镜像想导入需要转换格式,还存在不能使用的情况,所以麻烦点直接在阿里云原来的ubuntu里直接配置需要用到的内容。 首先,阿里云服务器ubuntu默
本文向大家介绍Windows下MongoDb简单配置教程,包括了Windows下MongoDb简单配置教程的使用技巧和注意事项,需要的朋友参考一下 如何在Windows下对MongoDb进行简单的配置,本文为大家解答。 以管理员的启动cmd 进入安装目录下 输入:mongod --auth --port 3406 --dbpath=库地址 --logpath= 全地址 --install --se