iptables是Linux類伺服器重要的網路安全防範系統工具,考慮到多數伺服器有專門的團隊託管,伺服器管理員多數時間只能通過SSH進行遠端管理,在安全允許的情況下,保證SSH的合法聯通,需要做如下的配置。
iptables -P INPUT ACCEPTiptables -Fiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPTiptables -L -v
這樣能夠保證SSH的22連接埠得到合法的通行,最後執行service iptables save,將剛才的配置儲存。
通過cat /etc/sysconfig/iptables可以查看iptables設定檔的資訊,今後可以通過直接編輯該檔案,增刪配置條目。
查看運行著的iptables的規則指令為:lsmod | grep ip_tables或iptables -L。
小編再補充一個知識點:防簡單攻擊iptables策略
#!/bin/shIPTABLES=/sbin/iptables# clear$IPTABLES -F# if pkg type is allow, then accept#$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 如果同時在80連接埠的串連數大於10,就Drop掉這個ipnetstat -an | grep :80 | awk -F: '{ print $8 }' | sort | uniq -c | awk -F\ '$1>10 && $2!="" { print $2 }' >> /etc/fw.listless /etc/fw.list | sort | uniq -c | awk -F\ '$2!="" { print $2 }' > /etc/fw.list2less /etc/fw.list2 > /etc/fw.listwhile read line do t=`echo "$line"` $IPTABLES -A INPUT -p tcp -s $t -j DROPdone < /etc/fw.list2# IP轉寄$IPTABLES -A INPUT -p tcp --dport 20002 -j ACCEPT$IPTABLES -A INPUT -d 172.16.204.7 -p tcp -m tcp --dport 20002 -i eth0 -j ACCEPT$IPTABLES -t nat -A PREROUTING -d 211.100.39.44 -p tcp -m tcp --dport 20002 -j DNAT --to-destination 172.16.204.7:20002$IPTABLES -t nat -A POSTROUTING -d 172.16.204.7 -p tcp -m tcp --dport 20002 -j SNAT --to-source 10.6.39.44# if pkg visit 80,7710 port then accept$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT$IPTABLES -A INPUT -p tcp --dport 873 -j ACCEPT# $IPTABLES -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT$IPTABLES -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT# if pkg from allow ip then accept$IPTABLES -A INPUT -p tcp -s 127.0.0.1 -j ACCEPT# if pkg not above then deny$IPTABLES -A INPUT -p tcp --syn -j DROP下面這個防火牆測試結果更正確,能起到一定的防攻擊的功能#!/bin/shIPTABLES="/sbin/iptables"echo "1" > /proc/sys/net/ipv4/ip_forward$IPTABLES -P INPUT DROP$IPTABLES -P FORWARD DROP$IPTABLES -P OUTPUT DROP$IPTABLES -F$IPTABLES -X$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT$IPTABLES -A INPUT -p tcp --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 30/m --limit-burst 2 -j ACCEPT$IPTABLES -A OUTPUT -p tcp -s 127.0.0.1 -j ACCEPT$IPTABLES -A OUTPUT -p tcp -s 192.168.1.102 -j ACCEPT$IPTABLES -A OUTPUT -p udp -s 127.0.0.1 -j ACCEPT$IPTABLES -A OUTPUT -p udp -s 192.168.1.102 -j ACCEPT$IPTABLES -A INPUT -p tcp --syn -j DROP
以上就是本文的全部內容,希望對大家的學習有所協助,也希望大家多多支援雲棲社區。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
