Linux 防火牆配置
阿新 • • 發佈:2018-12-12
1.檢視IPTABLES設定
iptables -L -n
可以看出,Linux系統上有防火牆,並且開放了22,3306埠。
2.清除原有規則
iptables -F
該命令可以清除預設表filter中的所有規則。
3.設定預設規則
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
(1)不在INPUT規則中的資料包,丟棄。
(2)不在FORWARD規則中的資料包,丟棄。
(3)不在OUTPUT 規則中的資料包,通過。
上述配置,限制流入的資料包,不限制流出的資料包,這是安全的配置方案。
4.新增規則
4.1 INPUT的預設規則是DROP,需要寫ACCETP的規則
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
(1)開啟22埠,允許遠端登入。
(2)開啟80埠,允許web服務。
(3)開啟53埠,允許DNS服務。
(4)開啟3306埠,允許資料庫服務。
4.2 OUTPUT預設規則是ACCEPT,需要寫DROP的規則
iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些木馬會掃描埠31337上的服務,阻塞該埠能夠有效地減少網路上被感染的機器和它們的遠端主伺服器進行獨立通訊的機會。
4.3 FORWARD的預設規則是DROP,需要寫ACCETP的規則
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT iptables -A FORWARD -p icmp -m limit --limit 10/s --limit-burst 100 -j ACCEPT
(1)處理IP碎片數量,允許每秒100個。
(2)設定ICMP過濾,允許每秒10個。