那些遇到过的问题

网络服务器的良好 iptables 启动规则?

ben*_*ail 14 iptables

我正在安装一个新的 centos 5.4 服务器,我想有一套干净的规则让 mu iptables 启动。

什么是好的规则开始?

这是一个好的起点吗: 

# Allow outgoing traffic and disallow any passthroughs

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Allow traffic already established to continue

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow ssh, ftp and web services

iptables -A INPUT -p tcp --dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

# Allow local loopback services

iptables -A INPUT -i lo -j ACCEPT

# Allow pings

iptables -I INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -I INPUT -p icmp --icmp-type source-quench -j ACCEPT
iptables -I INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
Run Code Online (Sandbox Code Playgroud)

这个规则是什么:

iptables -A INPUT -p tcp --dport domain -i eth0 -j ACCEPT
Run Code Online (Sandbox Code Playgroud)

更新 :

它将是一个带有 FTP(必需)、apache、SSH、mysql 的 Web 服务器。

Rya*_*nch 14

您的 IPTables 规则似乎最适合您的服务器。但我会建议一些可能的改变:

  • 除非您需要允许来自整个 Internet 的 SSH、MySQL 和 FTP 访问,否则使用“--source”选项来限制仅来自某些批准的 IP 地址对这些端口的访问会更安全。例如,要仅允许来自 IP 地址 71.82.93.101 的 SSH 访问,您需要将第 5 条规则更改为“iptables -A INPUT -p tcp --dport ssh --source 71.82.93.101 -i eth0 -j ACCEPT”。您可能需要为要允许的每个单独的 IP 地址添加单独的规则,请参阅此问题以获取更多信息:iptables multiple source IPs

  • 除非这台机器正在运行 DNS 服务器,否则您可能希望阻止对“域”(53) 端口的访问。为此,只需删除“iptables -A INPUT -p tcp --dport domain -i eth0 -j ACCEPT”这一行。(这也应该回答您的最后一个问题,顺便说一句。)但是,如果您实际上正在运行 DNS 服务器,请保留此规则。

  • 如果您需要允许远程 MySQL 客户端通过网络访问,则需要添加行 'iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT' 以打开对标准 MySQL 端口的外部访问. 但是除非真的有必要,否则不要这样做——如果您只需要本地 MySQL 访问(例如,对于在 Apache 下运行的 PHP 应用程序),则不需要提供远程 MySQL 访问。除非您想冒被黑客攻击的风险,否则如果您向网络开放端口 3306,请确保所有 MySQL 用户帐户都需要强密码,并且您的 MySQL 服务器包是最新的。

  • 您的评论之一(“允许 ssh、dns、ldap、ftp 和 Web 服务”)提到了 LDAP 服务,但您的配置中没有这样的规则。当我复制示例配置并修改它时,这种情况经常发生在我身上。它不会影响功能,但我会修复评论,因为误导性评论可能会间接导致您或将来的其他管理员感到困惑。

根据我的经验,很难想出一套完美的 IPTables 规则,但我认为您绝对走在正确的轨道上。另外,祝您在学习更多有关 IPTables 的知识时好运——这些规则起初看起来很复杂,但对于任何 Linux 系统管理员来说,这是一项非常有用的技能。

归档时间:

查看次数:

21881 次

最近记录:

11 年,6 月 前
在单个规则中 iptables 多个源 IP 37
更多相关链接
相关归档
具有 Iptables 的不同内部端口范围的 DNAT 端口范围 8
如何阻止ICMP攻击? 6
用于本地连接的 iptables 5
如何允许 6to4 通过 iptables 防火墙? 5
如何通过一个网络接口阻止所有传入请求? 5
Linux 更改传入流量的源 ip 地址 5
在centos上为smtp打开465端口的问题 3
在ubuntu上打开8082端口进行远程访问 2
如何在 Debian 7 上激活 iptables? 1
让 iptables 在 DROP 上发送电子邮件 0
难疑归档
如何在 Bash 中以毫秒为单位获取当前的 Unix 时间? 314
如何在 Nginx.conf 中使用环境变量 287
如何在 /etc/fstab 中执行“mount --bind”? 188
如何检索git存储库中所有文件的最后修改日期 81
Apache2 配置变量未定义 78
如何[礼貌地?] 告诉软件供应商他们不知道他们在说什么 62
RAID - 软件与硬件 54
Ubuntu 服务器上 ufw 的日志在哪里? 53
具有并行处理功能的更好的 Unix 查找? 52
光纤通道长距离问题 52