iptables的设定与注意事项

防火墙一直非常有用,
我发现,如果我一旦重启机器或者重启iptables的服务,没有及时往里面添加规则的时候,总是会有一些十分恶意的连接请求,特别是喜欢开大量的线程去试我的25号SMTP服务器端口帐号和密码.

我自己的iptables经过这段时间不断摸索,总结出以下防御顺序

清除历史的规则;

iptables -F
iptables -X
iptables -Z

设置抵御通则;

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

 

十分基础第防止SMTP(25端口)被暴力破解

对特定的IP进行封锁(如果是后面才加入的IP,可以试试 -I 这个参数),这个过滤规则必须要放在前面;

iptables -I INPUT -p tcp –dport 25 -m connlimit –connlimit-above 3 -j REJECT
iptables -A INPUT -s 这里填上你要阻止的IP地址  -j DROP

 

特殊的端口允许

(这里只是举了一个DNS服务器的例子,现在一台主机往往有几个IP,这里就可以限定使用哪个IP,当然,最好还要在后面也就是DNS监听方面进行设置)

iptables -A INPUT -p TCP -d DNS服务器的IP --dport 53 -j ACCEPT

一般情况下
FTP要用20,21 (这里是主动式FTP)
网页80
域名服务器DNS  53
SMTP 25
IMAPs 993
至于SSH,十分建议大家更换到一个不常用的端口,这样可以避开大量攻击

 

已经成功建立链接的访问允许

(这个十分重要,如果不设置可能会导致SSH访问不了);

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

对内部请求的允许;

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

 

 

最后保存,展示

iptables-save
iptables -L -n

 

这篇博文发表在 开发运维 | Dev Ops 目录下,标签为 , , ,
如需引用,请使用链接:https://note.mc256.dev/?p=38

This article published in 开发运维 | Dev Ops with tags , , , .
Cite this page using this link:https://note.mc256.dev/?p=38

您的邮箱地址不会被公开,评论使用Gravatar头像。
Your email address will not be published. This blog is using Gravatar.

正在提交评论... Submitting ...
正在为您准备评论控件 Loading Comment Plugin
Copyright © 2013-2024 mc256. All Rights Reserved.
Powered by WordPress on top of a dual-stack k3s Cluster using JuiceFS.
Wordpress Theme Designed By mc256.
Encrypted By Let's Encrypt.  Hosted On Linode + OVH + AWS.
DNS Provided By Hostker.
Status Page by CloudFlare Worker.