VPS安全之iptables基本配置

VPS安全之iptables基本配置

centoscentos 系統安全防護 2015年6月14日html

130 0 0linux

Linux就該這麼學

看了下secure日誌和access的日誌,一大半都是暴力破解和掃描,雖然哥的密碼極其複雜,不過總被這麼消耗服務器資源也不是事,索性仍是把ssh端口和ftp改了而後寫個iptables稍微保護一下好了。還有個東西叫Fail2Ban,能夠自動檢測暴力破解,密碼錯誤超過必定次數就把對端ban掉,不過我實在是不想再開一個服務了,改端口應該問題不大...centos

只是最基本的配置,防護flood的懶得寫了,真有人跟我有仇要DDOS個人話那就掛了算了...安全

#配置,禁止進,容許出,容許迴環網卡

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

#容許ping,不容許刪了就行

iptables -A INPUT -p icmp -j ACCEPT

#容許ssh

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

#容許ftp

iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

#容許ftp被動接口範圍,在ftp配置文件裏能夠設置

iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT

#學習felix,把smtp設成本地

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1

iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT

#容許DNS

iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

#容許http和https

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

#容許狀態檢測,懶得解釋

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP服務器

#保存配置

iptables-save > /etc/iptablesssh

保存以後就好了,Debian不須要單獨把iptbles作成服務,具體如何讓iptables開機自動加載,請看文章《Debian下iptables防火牆開機自動加載實現》tcp

我是把上面那段和下面這段都寫到sh裏了,start{}和stop{}。須要修改規則的時候直接清空了重建比較好,由於規則有順序問題。學習

#清空配置

iptables -F

iptables -X

iptables -Z

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPTspa

相關文章
相關標籤/搜索