目录 | Table of Contents
防火墙一直非常有用,
我发现,如果我一旦重启机器或者重启iptables的服务,没有及时往里面添加规则的时候,总是会有一些十分恶意的连接请求,特别是喜欢开大量的线程去试我的25号SMTP服务器端口帐号和密码.
我自己的iptables经过这段时间不断摸索,总结出以下防御顺序
清除历史的规则;
iptables -F iptables -X iptables -Z
设置抵御通则;
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
十分基础第防止SMTP(25端口)被暴力破解
对特定的IP进行封锁(如果是后面才加入的IP,可以试试 -I 这个参数),这个过滤规则必须要放在前面;
iptables -I INPUT -p tcp –dport 25 -m connlimit –connlimit-above 3 -j REJECT iptables -A INPUT -s 这里填上你要阻止的IP地址 -j DROP
特殊的端口允许
(这里只是举了一个DNS服务器的例子,现在一台主机往往有几个IP,这里就可以限定使用哪个IP,当然,最好还要在后面也就是DNS监听方面进行设置)
iptables -A INPUT -p TCP -d DNS服务器的IP --dport 53 -j ACCEPT
一般情况下
FTP要用20,21 (这里是主动式FTP)
网页80
域名服务器DNS 53
SMTP 25
IMAPs 993
至于SSH,十分建议大家更换到一个不常用的端口,这样可以避开大量攻击
已经成功建立链接的访问允许
(这个十分重要,如果不设置可能会导致SSH访问不了);
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
对内部请求的允许;
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
最后保存,展示
iptables-save iptables -L -n
