这是Linux中iptables的一个很好的起点吗?
发布时间:2020-12-14 02:26:46 所属栏目:Linux 来源:网络整理
导读:我是iptables的新手,我一直在尝试组建一个防火墙,其目的是保护Web服务器.以下规则是我到目前为止所组建的规则,我想听听这些规则是否有意义 – 而且我已经遗漏了任何必要的东西? 除了端口80,我还需要为外部连接打开端口3306(mysql)和22(ssh). 任何反馈都非常
|
我是iptables的新手,我一直在尝试组建一个防火墙,其目的是保护Web服务器.以下规则是我到目前为止所组建的规则,我想听听这些规则是否有意义 – 而且我已经遗漏了任何必要的东西?
除了端口80,我还需要为外部连接打开端口3306(mysql)和22(ssh). 任何反馈都非常感谢! #!/bin/sh # Clear all existing rules. iptables -F # ACCEPT connections for loopback network connection,127.0.0.1. iptables -A INPUT -i lo -j ACCEPT # ALLOW established traffic iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # DROP packets that are NEW but does not have the SYN but set. iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # DROP fragmented packets,as there is no way to tell the source and destination ports of such a packet. iptables -A INPUT -f -j DROP # DROP packets with all tcp flags set (XMAS packets). iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP # DROP packets with no tcp flags set (NULL packets). iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # ALLOW ssh traffic (and prevent against DoS attacks) iptables -A INPUT -p tcp --dport ssh -m limit --limit 1/s -j ACCEPT # ALLOW http traffic (and prevent against DoS attacks) iptables -A INPUT -p tcp --dport http -m limit --limit 5/s -j ACCEPT # ALLOW mysql traffic (and prevent against DoS attacks) iptables -A INPUT -p tcp --dport mysql -m limit --limit 25/s -j ACCEPT # DROP any other traffic. iptables -A INPUT -j DROP 解决方法
试试shorewall,提供开箱即用的合理防火墙.从网络启用对所需服务的访问.有一个,两个和三个接口的示例规则集.文档很好,并且积极维护.
我希望您能够限制哪些地址可以轻松访问MySQL.除非您最近探测过另一个端口,否则您还可以在端口关闭的情况下使用端口敲门来保护SSH. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |