当前位置: 正文

Debian系统iptable设置,增强服务器系统安全性

2014-01-26 博客 826

debian系统iptable安全设置
一般情况下,debian系统安装后默认未开启iptable,作为网络服务器使用的debian系统有必要开启iptable防止一般性安全问题。
当然,你也可以使用其他防火墙软件,在此就不深入了,一般使用最多的还是iptable。
安装完系统后,首先查看下是否已经安装了iptable,使用命令:

1
whereis iptables

如果显示:

1
iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz

则说明系统已经安装了iptable
再查看一下iptable的配置,使用命令:

1
iptables -L

如果显示以下信息,则说明iptable已开启,但是没有进行什么安全设置

1
2
3
4
5
6
7
8
9
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

修改iptable的默认安全规则,使用以下命令:

1
nano /etc/iptables.default.rules

添加以下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
*filter
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allows HTTP and MySQLconnections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 3306 -j ACCEPT
# Allows SSH connections for script kiddies
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT

保存:

1
ctrl+o

退出:

1
ctrl+x

重新载入配置文件:

1
iptables-restore < /etc/iptables.default.rules

如果iptable不是默认启动的,还需要添加自动启动:

1
nano /etc/network/if-pre-up.d/iptables

添加以下内容:

1
2
#!/bin/bash
/sbin/iptables-restore </etc/iptables.default.rules

添加执行权限:

1
chmod +x /etc/network/if-pre-up.d/iptables
原文链接:https://xiaohost.com/629.html,转载请注明出处。
0

猜你喜欢

如何隐藏服务器真实IP,防止被攻击?
博客

1、应用仅监听本地端口 确保你的服务监听的仅为本地连接,该项与你说采用的服务...
2020-10-25 573
Linux VPS性能测试重点内容
博客

Linux VPS性能测试重点内容 包括的内容: VPS的CPU信息查看命令:cat /proc/cpui...
2018-09-12 502
VPS上非常强悍的mysql自动备份脚本automysqlbackup
博客

这个工具使用gpl协议,项目地址:http://sourceforge.net/projects/automysqlbacku...
2018-09-06 544
Linux服务器实时流量监控工具
博客

CentOS系统: yum install flex byacc  libpcap ncurses ncurses-devel wget ftp...
2018-09-05 604
CentOS系统的VPS安装Kloxo免费面板、优化及使用的方法
博客

Kloxo是一款免费的虚拟主机管理系统,其前身是lxadmin面板,就免费面板比较的话,它安装简单,但功能强大,可以快速在linux系统的VPS/服务器上搭建LAMP环境(可以随时将apache服务器切换为更节省系统资源的lighttpd服务器),特别适合新手站长使用,功能齐全,操作简单,并且可以和whmcs等软件通信。
2018-09-04 504
怎么在Linux下建立安全的FTP服务器?
博客

Linux系统相对于Windows是比较安全的,系统漏洞较少,针对该系统的病毒也较少,外部不易攻击。所以用Linux系统做各种网络服务是非常理想的。下面仅就linux系统下FTP及DHCP服务做一下详细讲述。
2018-08-31 565

评论2

请先
  1. 技术文~
    无纯洁 2014-01-28 0
    • 也不算了~~只是自己要用到的东西 记录下来 下次好用
      站长 2014-02-10 0
首页 发现 VIP 我的
忘记密码?