CentOS服务器iptables配置简单教程
iptables是Linux类服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置。
iptables-PINPUTACCEPT iptables-F iptables-AINPUT-ilo-jACCEPT iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT iptables-AINPUT-ptcp--dport22-jACCEPT iptables-PINPUTDROP iptables-PFORWARDDROP iptables-POUTPUTACCEPT iptables-L-v
这样能够保证SSH的22端口得到合法的通行,最后执行serviceiptablessave,将刚才的配置保存。
通过cat/etc/sysconfig/iptables可以查看iptables配置文件的信息,今后可以通过直接编辑该文件,增删配置条目。
查看运行着的iptables的规则指令为:lsmod|grepip_tables或iptables-L。
小编再补充一个知识点:防简单攻击iptables策略
#!/bin/sh IPTABLES=/sbin/iptables #clear $IPTABLES-F #ifpkgtypeisallow,thenaccept #$IPTABLES-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT #如果同时在80端口的连接数大于10,就Drop掉这个ip netstat-an|grep:80|awk-F:'{print$8}'|sort|uniq-c|awk-F\'$1>10&&$2!=""{print$2}'>>/etc/fw.list less/etc/fw.list|sort|uniq-c|awk-F\'$2!=""{print$2}'>/etc/fw.list2 less/etc/fw.list2>/etc/fw.list whilereadline do t=`echo"$line"` $IPTABLES-AINPUT-ptcp-s$t-jDROP done</etc/fw.list2 #IP转发 $IPTABLES-AINPUT-ptcp--dport20002-jACCEPT $IPTABLES-AINPUT-d172.16.204.7-ptcp-mtcp--dport20002-ieth0-jACCEPT $IPTABLES-tnat-APREROUTING-d211.100.39.44-ptcp-mtcp--dport20002-jDNAT--to-destination172.16.204.7:20002 $IPTABLES-tnat-APOSTROUTING-d172.16.204.7-ptcp-mtcp--dport20002-jSNAT--to-source10.6.39.44 #ifpkgvisit80,7710portthenaccept $IPTABLES-AINPUT-ptcp--dport80-jACCEPT $IPTABLES-AINPUT-ptcp--dport8080-jACCEPT $IPTABLES-AINPUT-ptcp--dport22-jACCEPT $IPTABLES-AINPUT-ptcp--dport873-jACCEPT #$IPTABLES-AINPUT-ieth0-mlimit--limit1/sec--limit-burst5-jACCEPT $IPTABLES-AINPUT-ptcp--tcp-flagsSYN,ACK,FIN,RSTSYN-mlimit--limit30/m--limit-burst2-jACCEPT $IPTABLES-AFORWARD-ptcp--syn-mlimit--limit10/s-jACCEPT $IPTABLES-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT #ifpkgfromallowipthenaccept $IPTABLES-AINPUT-ptcp-s127.0.0.1-jACCEPT #ifpkgnotabovethendeny $IPTABLES-AINPUT-ptcp--syn-jDROP 下面这个防火墙测试结果更正确,能起到一定的防攻击的功能 #!/bin/sh IPTABLES="/sbin/iptables" echo"1">/proc/sys/net/ipv4/ip_forward $IPTABLES-PINPUTDROP $IPTABLES-PFORWARDDROP $IPTABLES-POUTPUTDROP $IPTABLES-F $IPTABLES-X $IPTABLES-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT $IPTABLES-AINPUT-ptcp--dport22-jACCEPT $IPTABLES-AINPUT-ptcp--dport80--tcp-flagsSYN,ACK,FIN,RSTSYN-mlimit--limit30/m--limit-burst2-jACCEPT $IPTABLES-AOUTPUT-ptcp-s127.0.0.1-jACCEPT $IPTABLES-AOUTPUT-ptcp-s192.168.1.102-jACCEPT $IPTABLES-AOUTPUT-pudp-s127.0.0.1-jACCEPT $IPTABLES-AOUTPUT-pudp-s192.168.1.102-jACCEPT $IPTABLES-AINPUT-ptcp--syn-jDROP
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。