130 0 0linux
看了下secure日誌和access的日誌,一大半都是暴力破解和掃描,雖然哥的密碼極其複雜,不過總被這麼消耗服務器資源也不是事,索性仍是把ssh端口和ftp改了而後寫個iptables稍微保護一下好了。還有個東西叫Fail2Ban,能夠自動檢測暴力破解,密碼錯誤超過必定次數就把對端ban掉,不過我實在是不想再開一個服務了,改端口應該問題不大...centos
只是最基本的配置,防護flood的懶得寫了,真有人跟我有仇要DDOS個人話那就掛了算了...安全
#配置,禁止進,容許出,容許迴環網卡
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#容許ping,不容許刪了就行
iptables -A INPUT -p icmp -j ACCEPT
#容許ssh
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#容許ftp
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#容許ftp被動接口範圍,在ftp配置文件裏能夠設置
iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT
#學習felix,把smtp設成本地
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT
#容許DNS
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
#容許http和https
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#容許狀態檢測,懶得解釋
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP服務器
#保存配置
iptables-save > /etc/iptablesssh
保存以後就好了,Debian不須要單獨把iptbles作成服務,具體如何讓iptables開機自動加載,請看文章《Debian下iptables防火牆開機自動加載實現》tcp
我是把上面那段和下面這段都寫到sh裏了,start{}和stop{}。須要修改規則的時候直接清空了重建比較好,由於規則有順序問題。學習
#清空配置
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPTspa