你見联予,或者不見辑甜,我就在那里,不卑不喜凝赛。
防火墻注暗,作用于網(wǎng)絡(luò)邊界,用以保護(hù)網(wǎng)絡(luò)內(nèi)的機(jī)器墓猎。
偉大的GFW捆昏,撕心瘋一樣的限制并保護(hù)著襁褓中的我們,長(zhǎng)大后不得不自備梯子看外面的世界陶衅。
iptables
iptables 是netfilter.org的項(xiàng)目屡立,linux kernel 2.4.X開始正式引入。
相關(guān)原理:參考上圖搀军,ref自行腦補(bǔ)膨俐。
Netfilter-packet-flow
https://en.wikipedia.org/wiki/Netfilter
practise
從一臺(tái)linode主機(jī)的安全說起....
對(duì)外提供web服務(wù),需要遠(yuǎn)程ssh訪問罩句,其上部署的應(yīng)用程序需要訪問互聯(lián)網(wǎng)及內(nèi)網(wǎng)的服務(wù)焚刺。整理如下
更改ssh配置:關(guān)閉root登錄、替換默認(rèn)端口22
限制進(jìn)站:只允許80/443/ssh 端口進(jìn)入(對(duì)外提供服務(wù)门烂,對(duì)出站不做限制)
大致如下:
#限制入口乳愉,不限制出口流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
?
#常用web服務(wù)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
?
#import
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
常用腳本(同事給的):
#!/bin/bash
#clear all rules
iptables -F
#allow loop net
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
?
#allow out access
iptables -A OUTPUT -j ACCEPT
?
# ping
iptables -A INPUT -p icmp -j ACCEPT
# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 50022 -j ACCEPT
?
# http
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
?
#https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
基本滿足需求兄淫,按需調(diào)整吧
Ref
iptables詳解
iptables全攻略
iptables-linux-firewall
how-to-setup-a-basic-ip-tables-configuration-on-centos-6
http://www.cnblogs.com/argb/p/3535179.html
真正的安全是一種意識(shí),而非技術(shù)蔓姚!
