CentOS服务器iptables配置简单教程
iptables是Linux类服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置。
iptables-PINPUTACCEPT iptables-F iptables-AINPUT-ilo-jACCEPT iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT iptables-AINPUT-ptcp--dport22-jACCEPT iptables-PINPUTDROP iptables-PFORWARDDROP iptables-POUTPUTACCEPT iptables-L-v
这样能够保证SSH的22端口得到合法的通行,最后执行serviceiptablessave,将刚才的配置保存。
通过cat/etc/sysconfig/iptables可以查看iptables配置文件的信息,今后可以通过直接编辑该文件,增删配置条目。
查看运行着的iptables的规则指令为:lsmod|grepip_tables或iptables-L。
小编再补充一个知识点:防简单攻击iptables策略
#!/bin/sh
IPTABLES=/sbin/iptables
#clear
$IPTABLES-F
#ifpkgtypeisallow,thenaccept
#$IPTABLES-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
#如果同时在80端口的连接数大于10,就Drop掉这个ip
netstat-an|grep:80|awk-F:'{print$8}'|sort|uniq-c|awk-F\'$1>10&&$2!=""{print$2}'>>/etc/fw.list
less/etc/fw.list|sort|uniq-c|awk-F\'$2!=""{print$2}'>/etc/fw.list2
less/etc/fw.list2>/etc/fw.list
whilereadline
do
t=`echo"$line"`
$IPTABLES-AINPUT-ptcp-s$t-jDROP
done</etc/fw.list2
#IP转发
$IPTABLES-AINPUT-ptcp--dport20002-jACCEPT
$IPTABLES-AINPUT-d172.16.204.7-ptcp-mtcp--dport20002-ieth0-jACCEPT
$IPTABLES-tnat-APREROUTING-d211.100.39.44-ptcp-mtcp--dport20002-jDNAT--to-destination172.16.204.7:20002
$IPTABLES-tnat-APOSTROUTING-d172.16.204.7-ptcp-mtcp--dport20002-jSNAT--to-source10.6.39.44
#ifpkgvisit80,7710portthenaccept
$IPTABLES-AINPUT-ptcp--dport80-jACCEPT
$IPTABLES-AINPUT-ptcp--dport8080-jACCEPT
$IPTABLES-AINPUT-ptcp--dport22-jACCEPT
$IPTABLES-AINPUT-ptcp--dport873-jACCEPT
#$IPTABLES-AINPUT-ieth0-mlimit--limit1/sec--limit-burst5-jACCEPT
$IPTABLES-AINPUT-ptcp--tcp-flagsSYN,ACK,FIN,RSTSYN-mlimit--limit30/m--limit-burst2-jACCEPT
$IPTABLES-AFORWARD-ptcp--syn-mlimit--limit10/s-jACCEPT
$IPTABLES-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT
#ifpkgfromallowipthenaccept
$IPTABLES-AINPUT-ptcp-s127.0.0.1-jACCEPT
#ifpkgnotabovethendeny
$IPTABLES-AINPUT-ptcp--syn-jDROP
下面这个防火墙测试结果更正确,能起到一定的防攻击的功能
#!/bin/sh
IPTABLES="/sbin/iptables"
echo"1">/proc/sys/net/ipv4/ip_forward
$IPTABLES-PINPUTDROP
$IPTABLES-PFORWARDDROP
$IPTABLES-POUTPUTDROP
$IPTABLES-F
$IPTABLES-X
$IPTABLES-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
$IPTABLES-AINPUT-ptcp--dport22-jACCEPT
$IPTABLES-AINPUT-ptcp--dport80--tcp-flagsSYN,ACK,FIN,RSTSYN-mlimit--limit30/m--limit-burst2-jACCEPT
$IPTABLES-AOUTPUT-ptcp-s127.0.0.1-jACCEPT
$IPTABLES-AOUTPUT-ptcp-s192.168.1.102-jACCEPT
$IPTABLES-AOUTPUT-pudp-s127.0.0.1-jACCEPT
$IPTABLES-AOUTPUT-pudp-s192.168.1.102-jACCEPT
$IPTABLES-AINPUT-ptcp--syn-jDROP
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。