linux vps服务器常用服务iptables策略
vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一。linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉。
目前这台vps上开启的服务有ssh,ftp,pptpd,shadowsocks等。
防火墙策略是默认策略是DROP的。
防火墙策略配置:
[root@vultrscripts]#catiptables.sh #/bin/bash #date:2017-04-10 #author:xjh #调试追踪 #set-x #清除规则 iptables-F iptables-X iptables-Z iptables-tnat-F iptables-tnat-X iptables-tnat-Z iptables-PINPUTACCEPT iptables-POUTPUTACCEPT iptables-PFORWARDACCEPT #设定默认规则 iptables-PINPUTDROP iptables-POUTPUTDROP iptables-PFORWARDDROP #允许已建立的连接 iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT iptables-AOUTPUT-ptcp-mstate--stateESTABLISHED,RELATED-jACCEPT #开启环回网络 iptables-AOUTPUT-olo-jACCEPT iptables-AINPUT-ilo-jACCEPT #开启DNS解析 iptables-AOUTPUT-pudp--dport53-jACCEPT #开启shadowsocks代理端口 iptables-AINPUT-ptcp-mmultiport--dports8080,8081,8082-mstate--stateNEW-jACCEPT #OUTPUT链默认DROP,shadowsocks服务随机端口去连外网,没好的办法暂时就开目的地址80,443 iptables-AOUTPUT-ptcp-mmultiport--dports80,443-jACCEPT #开启ftp服务端口端口(写ftp策略iptables需要加模块) iptables-AINPUT-ptcp--dport21-mstate--stateNEW-jACCEPT iptables-AINPUT-ptcp--dport20-mstate--stateNEW-jACCEPT #开启ssh服务端口并限制登录频率 iptables-AINPUT-ptcp--dport22-ieth0-mstate--stateNEW-mrecent--set iptables-AINPUT-ptcp--dport22-ieth0-mstate--stateNEW-mrecent--update--seconds300--hitcount5-jDROP iptables-AINPUT-ptcp--dport22-mstate--stateNEW-jACCEPT #开启端口转发 iptables-AINPUT-pgre-jACCEPT iptables-AOUTPUT-pgre-jACCEPT iptables-AINPUT-ptcp--dport1723-mstate--stateNEW-jACCEPT iptables-AFORWARD-s10.0.1.0/24-oeth0-jACCEPT iptables-AFORWARD-d10.0.1.0/24-ieth0-jACCEPT iptables-tnat-APOSTROUTING-s10.0.1.0/24-oeth0-jSNAT--to-source45.76.210.222 #兼容windows系统pptp客户端MTU值 iptables-AFORWARD-ptcp--tcp-flagsSYN,RSTSYN-s10.0.1.0/24-jTCPMSS--set-mss1400 #保存配置 /etc/init.d/iptablessave
不断的挖坑填坑,似乎又找到了一点点感觉,后续会再改改,完善完善。