我编写了第一个IPtables规则文件,试图在除SSH和Web所需端口之外的所有端口上保护我的服务器.
这就是我想出的:
- i=/sbin/iptables
- # Flush all rules
- $i -F
- $i -X
- # Setup default filter policy
- $i -P INPUT DROP
- $i -P OUTPUT DROP
- $i -P FORWARD DROP
- # Allow unlimited traffic on loopback
- $i -A INPUT -i lo -j ACCEPT
- $i -A OUTPUT -o lo -j ACCEPT
- # Open up ports for Nginx
- $i -A INPUT -p tcp --dport 443 -j ACCEPT
- $i -A INPUT -p tcp --dport 80 -j ACCEPT
- $i -A INPUT -p tcp --dport 22 -j ACCEPT
- # Make sure nothing comes or goes out of this Box
- $i -A INPUT -j DROP
- $i -A OUTPUT -j DROP
我知道在IP表方面有一些黑色艺术,所以我想知道是否有人可以投入,看看这是否是保护Web服务器的正确方法.
解决方法
您可能不希望删除所有传出连接.
您可能希望尽早添加规则以允许ESTABLISHED连接,如果使用像ftp这样的协议,您可能会将RELATED添加到规则中,例如
- -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
记住规则顺序很重要 – 第一场比赛胜利.
你应该看看我们在保护网络服务器Tips for Securing a LAMP Server时所拥有的这个Q& A它有很多很棒的信息.
