标签:iptables
由于在服务器部署时,为了方便部署,把本机的iptables都关上了,然后还手欠的保存了设置,再想找回来是不可能了,那就重新设置一些适合我的防火墙策略吧!
如果你使用远程连接到你的服务器,那么ssh端口是不可少的,不要把自己关在外面!
ssh默认端口号是22,可以通过/etc/sshd/sshd.conf来修改
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
然后是拒绝所有的进入链接,有很多人用的DROP,下面简单说一下两者的区别:
iptables -A INPUT -j REJECT
REJECT和DROP的区别是什么?某天听到Sery的解释,感觉说的很容易理解:
“就好象骗子给你打电话,drop就是直接拒收。reject的话,相当于你还给骗子回个电话。”
其实对于到底是使用DROP还是REJECT,从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包,两个策略各有优劣,简单总结如下:
DROP比REJECT好在节省资源,而且延缓黑客攻击的进度(因为不会给黑客返回任何有关服务器的信息);坏在容易让企业的网络问题难以排查,而且在DDoS攻击的情况容易耗尽所有的带宽。
REJECT比DROP的好处在于容易诊断和调试网络设备或防火墙造成的问题;坏处上面也说了,你给骗子回个电话,相当于暴露了自己的服务器信息。
所以一般的建议是在上游防火墙中使用REJECT,在比较危险的面向外网的基础防火墙上,使用DROP要相对安全一些。(文章取自百度知道)
iptables -A是在当前已有记录下面追加一条规则,优先级比他上面的规则低
iptables -I 是在当前已有记录上面插入一条规则,优先级比他下面的规则高
所以,当添加好一天拒绝所有连接的规则后,下面配置的规则都应该在他的上面!
下面开始一些主要服务的端口开启:
开放icmp应答,ftp传输:
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
一.网站服务器
开放8080(tomcat)端口(httpd默认端口80):
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
二.文件服务器NFS
1.开放2049(NFS)端口和111(RPC):
iptables -I INPUT -p tcp --dport 2049 -j ACCEPT
iptables -I INPUT -p tcp --dport 111 -j ACCEPT
iptables -I INPUT -p ucp --dport 111 -j ACCEPT
2.文件服务启动服务需开放回环端口
iptables -I INPUT -i lo -j ACCEPT
3.开放mountd和lockd端口
①vim /etc/sysconfig/nfs
RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
②
iptables -I INPUT -p tcp --dport 892 -j ACCEPT
iptables -I INPUT -p udp --dport 892 -j ACCEPT
iptables -I INPUT -p tcp --dport 32803 -j ACCEPT
iptables -I INPUT -p udp --dport 32803 -j ACCEPT
iptables -I INPUT -p tcp --dport 32769 -j ACCEPT
iptables -I INPUT -p udp --dport 32769 -j ACCEPT
iptables -I INPUT -p udp --dport 875 -j ACCEPT
iptables -I INPUT -p tcp --dport 875 -j ACCEPT
三.网络攻击防御
允许一个网段ping
iptables -I INPUT -p icmp -s 192.168.6.0/24 -j ACCEPT
防Ddos攻击:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
--litmit 25/minute 指示每分钟限制最大连接数为25
--litmit-burst 100 指示当总连接数超过100时,启动 litmit/minute 限制
禁止Ping入
#允许内网(192.168.1.*)的ping入,允许ping出,禁止其它网段的ping入
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
四.端口转发
将本机80端口的请求转发到8080端口:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
将本机的81端口的请求全部转发到192.168.1.1:80
#首先要启用ipv4的转发功能:
echo 1 > /proc/sys/net/ipv4/ip_forward
#或者是修改/etc/sysctl.conf以便重启后也会启用转发,然后设定iptables:
iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 192.168.1.1:80
iptables -t nat -A POSTROUTING -j MASQUERADE
#如果开启了防火墙功能,注意要将80和81两个端口都打开
五.防火墙规则删除
显示所有规则的行号:
iptables -L INPUT --line-numbers
删除对应的行号的规则:
iptables -D chain rulenum [options]
iptables -D INPUT number
注意:删除第一条规则后,第二条规则会成为第一条规则!
六.自动化规则设置
当你设置好一台服务器的规则时,还有很多规则差不多的服务器需要设置规则,这样的话,建议把所有规则复制到shell脚本中,直接一执行规则就设置好了!
本文出自 “linux运维技术” 博客,请务必保留此出处http://forall.blog.51cto.com/12356505/1908421
标签:iptables
原文地址:http://dek701.blog.51cto.com/600550/1979990