首页 > 代码库 > 使用iptables加固系统安全

使用iptables加固系统安全

2024-08-12 09:39:43   217人阅读

我的目的是关闭所有对外服务的端口,只允许ssh服务的22端口接受外面的请求。

首先在我的测试服务器上进入root权限,然后用下面的命令查看iptables

root@host2:~# iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 105 packets, 10480 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
2        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
3        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
4        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0
3        0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0
4        0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
5        0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT 25 packets, 3380 bytes)
num   pkts bytes target     prot opt in     out     source               destination
-v 是输出详细信息

-n 指的是显示地址和端口号

-L 指显示链里面的规则

--line-number参数用来显示行号,删除的时候很有用

从上面的结果可以看到,策略上允许所有的输入连接。

现在先删除所有的规则,预防万一,不一定使用。

iptables -F

然后策略上关闭所有的进入请求

iptables -P INPUT DROP

再添加ssh端口的访问支持

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
试一下从另外一台机器链接,ssh登录没问题,除了开始要等一会儿。

注意,这样的设置会导致不能从这台机器连接外网,有两种方法解决:

1.如果为了绝对的安全,可以临时手动打开策略,用完后再关闭。

iptables -P INPUT ACCEPT

//DO SOMETHING

iptables -P INPUT DROP

2.添加一个规则,允许已经建立的连接接收进来的数据

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
连接是从本机向外发起的,我们的规则没有限制,连接建立后,就可以从外部网络拉取数据。

根据自己的需要再添加其他的端口吧。

如果想限制有限的机器向服务器发起请求,可以用-s参数,比如:

iptables -A INPUT -p tcp -s 10.112.18.0/0 --dport 27017 -j ACCEPT
仅在10.112.18.0/0网段的机器才能连接上本机的27017端口。

如果仅仅想本机访问,用下面的命令:

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 27017 -j ACCEPT

ubuntu下的详细iptables操作可以参考:

https://help.ubuntu.com/community/IptablesHowTo

如何保存规则呢?两步,

1.安装

apt-get install iptables-persistent

2.保存规则文件

service iptables-persistent save

重启即可。

 

鼎峰胡佳雄
QQ.2881064155
Skype.2881064155@qq.com

使用iptables加固系统安全


联系
我们