iptables加强系统安全性

我的目的是关闭所有对外服务的端口,只允许ssh服务的22端口接受外面的请求。

首先在我的测试服务器上进入root权限,然后用下面的命令查看iptables

root@host2:~# iptables -vnL --line-numbers 

Chain INPUT (policy ACCEPT 105 packets, 10480 bytes) 

num   pkts bytes target     prot opt in     out     source               destination           

1        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 

2        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53 

3        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67 

4        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67 

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 

num   pkts bytes target     prot opt in     out     source               destination           

1        0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED 

2        0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0             

3        0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0             

4        0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable 

5        0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable 

 

Chain OUTPUT (policy ACCEPT 25 packets, 3380 bytes) 

num   pkts bytes target     prot opt in     out     source               destination   

-v 是输出详细信息

-n 指的是显示地址和端口号

-L 指显示链里面的规则

--line-number参数用来显示行号,删除的时候很有用 

从上面的结果可以看到,策略上允许所有的输入连接。

现在先删除所有的规则,预防万一,不一定使用。

iptables -F

然后策略上关闭所有的进入请求

iptables -P INPUT DROP

再添加ssh端口的访问支持

iptables -A INPUT -p tcp --dport 22 -j ACCEPT 

试一下从另外一台机器链接,ssh登录没问题,除了开始要等一会儿。

注意,这样的设置会导致不能从这台机器连接外网,有两种方法解决:

1.如果为了绝对的安全,可以临时手动打开策略,用完后再关闭。

iptables -P INPUT ACCEPT

//DO SOMETHING

iptables -P INPUT DROP

2.添加一个规则,允许已经建立的连接接收进来的数据

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

连接是从本机向外发起的,我们的规则没有限制,连接建立后,就可以从外部网络拉取数据。

根据自己的需要再添加其他的端口吧。

如果想限制有限的机器向服务器发起请求,可以用-s参数,比如:

iptables -A INPUT -p tcp -s 10.112.18.0/0 --dport 27017 -j ACCEPT 

仅在10.112.18.0/0网段的机器才能连接上本机的27017端口。

如何保存规则呢?两步,

1.安装

apt-get install iptables-persistent

2.保存规则文件

service iptables-persistent save

重启即可。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/20650.html