快捷導(dǎo)航

linux vps服務(wù)器常用服務(wù)iptables策略

更新時(shí)間：2017年04月13日 00:02:10 投稿：mdxy-dxy

linux系統(tǒng)自帶防火墻必須要好好利用起來(lái)，可是我有一年多沒(méi)寫(xiě)過(guò)防火墻策略了，該忘的都忘了，不該忘的也都忘得差不多了，看筆記，找找感覺(jué)

vps服務(wù)器裸奔在公網(wǎng)上，總感覺(jué)有點(diǎn)不安全，沒(méi)辦法總得整點(diǎn)措施來(lái)加固下服務(wù)器呀，安全第一。linux系統(tǒng)自帶防火墻必須要好好利用起來(lái)，可是我有一年多沒(méi)寫(xiě)過(guò)防火墻策略了，該忘的都忘了，不該忘的也都忘得差不多了，看筆記，找找感覺(jué)。
目前這臺(tái)vps上開(kāi)啟的服務(wù)有ssh，ftp，pptpd，shadowsocks等。
防火墻策略是默認(rèn)策略是DROP的。
防火墻策略配置：

[root@vultr scripts]# cat iptables.sh 
#/bin/bash
#date:2017-04-10
#author:xjh
#調(diào)試追蹤
#set -x
#清除規(guī)則
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#設(shè)定默認(rèn)規(guī)則
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#允許已建立的連接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#開(kāi)啟環(huán)回網(wǎng)絡(luò)
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#開(kāi)啟DNS解析
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#開(kāi)啟shadowsocks代理端口
iptables -A INPUT -p tcp -m multiport --dports 8080,8081,8082 -m state --state NEW -j ACCEPT
#OUTPUT鏈默認(rèn)DROP，shadowsocks服務(wù)隨機(jī)端口去連外網(wǎng)，沒(méi)好的辦法暫時(shí)就開(kāi)目的地址80，443
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
#開(kāi)啟ftp服務(wù)端口端口（寫(xiě)ftp策略iptables需要加模塊）
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT
#開(kāi)啟ssh服務(wù)端口并限制登錄頻率
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
#開(kāi)啟端口轉(zhuǎn)發(fā)
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 10.0.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 10.0.1.0/24 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to-source 45.76.210.222
#兼容windows系統(tǒng)pptp客戶(hù)端MTU值
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -s 10.0.1.0/24 -j TCPMSS --set-mss 1400
#保存配置
/etc/init.d/iptables save

不斷的挖坑填坑，似乎又找到了一點(diǎn)點(diǎn)感覺(jué)，后續(xù)會(huì)再改改，完善完善。

您可能感興趣的文章: