首先是安装iptables,一般情况下iptables都是随系统一起安装了的,但也有可能是没安装的,所以小V这里说下如何安装iptables:

Centos下安装iptables

  1. yum install iptables

Debian/Ubuntu下安装iptables

  1. apt-get install iptables

安装好了iptables后开始配置iptables今本的安全策略:

1、清除已有的iptables规则:

  1. iptables -F
  2. iptables -X
  3. iptables -Z

2、开放指定端口,保障WEB环境的安全:

  1. #允许本地回环接口(即运行本机访问本机)
  2. iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  3. # 允许已建立的或相关连的通行
  4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  5. #允许所有本机向外的访问
  6. iptables -A OUTPUT -j ACCEPT
  7. # 允许访问22端口
  8. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  9. #允许访问80端口
  10. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  11. #允许FTP服务的21和20端口
  12. iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  13. iptables -A INPUT -p tcp --dport 20 -j ACCEPT
  14. #如果有其他端口的话,规则也类似,稍微修改上述语句就行
  15. #禁止其他未允许的规则访问
  16. iptables -A INPUT -j REJECT  (注意:如果22端口未加入允许规则,SSH链接会直接断开。)
  17. iptables -A FORWARD -j REJECT

3、防Spoofing(伪造内网IP)攻击

  1. iptables -t filter -A INPUT -i $EXTERNAL_ -s $INTERNAL_NET -j DROP
  2. iptables -t filter -A FORWARD -i $EXTERNAL_ -s $INTERNAL_NET -j DROP

4、防服务器敏感信息扫描

  1. iptables -t filter -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
  2. iptables -t filter -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
  3. iptables -t filter -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  4. iptables -t filter -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
  5. iptables -t filter -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  6. iptables -t filter -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

5、不回应ICMP封包(禁ping)

  1. iptables -t filter -A INPUT -p icmp --icmp-type echo-requested -j DROP
  2. iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
  3. iptables -t filter -A FORWARD -p  icmp -- icmp-type echo-requested -j DROP
  4. iptables -t filter -A FORWARD -p  icmp -- icmp-type echo-reply -j DROP

保存iptables规则:

  1. service iptables save

如果iptables不会开机自动启动的话,可以将iptables加入加入开机启动

  1. chkconfig --level 345 iptables on

另外遇到恶意IP访问的时候可以使用iptables屏蔽:

  1. #屏蔽单个IP的命令是
  2. iptables -I INPUT -s 122.226.213.3 -j DROP
  3. #封整个段即从123.0.0.1到123.255.255.254的命令
  4. iptables -I INPUT -s 123.0.0.0/8 -j DROP
  5. #封IP段即从123.45.0.1到123.45.255.254的命令
  6. iptables -I INPUT -s 10.159.0.0/16 -j DROP
  7. #封IP段即从123.45.6.1到123.45.6.254的命令是
  8. iptables -I INPUT -s 76.74.239.0/24 -j DROP

1. Linux防火墙(Iptables)重启系统生效

  1. 开启: chkconfig iptables on
  3. 关闭: chkconfig iptables off

2.Linux防火墙(Iptables) 即时生效,重启后失效

  1. 开启: service iptables start
  2. 关闭: service iptables stop

需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。

屏蔽IP后记得保存iptables规则,不然重启vps或者重启iptables之后未保存的规则会丢失。
本文转载自http://www.v7v3.com/vps/2014031052.html

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。