博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Iptables 对服务器的简单防护策略
阅读量:6923 次
发布时间:2019-06-27

本文共 2422 字,大约阅读时间需要 8 分钟。

 有的时候我们的对外提供服务的机器即使在最外层有了硬件防火墙也要自身做一些简单的防护,硬件防火墙也难免被攻破,系统自身有了防护功能,也能拖延全部被黑的时间,相信一个合格的SA应该能够在这段时间及时发现了入侵痕迹了。

很好很强大!

在最后给大家个好东西,这个是 (), 总裁兼 CEO, Gentoo Technologies, Inc. 写的动态iptables防火墙,添加和删除被阻止的IP都很方便,使用说明都在里面了,哈哈

 

下面简单的介绍linux自带的IPTABES的防护规则

   防火墙安全的配置原则是:全部拒绝,在允许相应的包进入,即:没有明确允许的全部拒绝!
---------------------------------------- 
   基本配置举例:
                                                             
   # iptables -A INPUT -s [!] 192.168.2.110 [指定匹配的主机] [!]:匹配指定主机之外的主机
   # iptables -A INPUT -s [!] 192.168.2.0/24[指定匹配的网络] [!]:匹配指定网络之外的网络
   # iptables -A INPUT -p tcp -m  mutilport --source-port 22,53,80,110 [匹配多个源端口]
   # iptables -A INPUT -p tcp -m  mutilport --destination-port 22,53,80,110 [匹配多个目的端口]
   # iptables -p tcp --syn [--syn 等于 “--tcp-fiags SYN,RST,ACK SYN”的简写]
   # iptables -A INPUT -p tcp -m state --state ESTABLISHED RELATED -j ACCEPT [对于已经建立的连接允许进入]
   # iptables -A INPUT -P TCP !SYN -M STATE --STATE NEW -j LOG --log-prefix "日志的标志字符"
   [记录日志]
-----------------------------------------
   NAT防火墙发布服务器配置: [ 拨号上网]
   # iptables -t nat -A [PREROUTING] -i [ppp0]  -p [tcp/udp] -d [公网接口地址]  --dport[发布服务的端口号]  
         -j  DNAT --to-destination  [IP]
   NAT上网配置:
   # iptables -t nat -A POSTROUTING -O [PPP0]   -j MASQUERADE 
   转换内部网络地址IP为公有IP地址:
   # iptables -t nat -A POSTROUTING -s [ 内部IP地址范围] -o [出站接口]  -j SNAT --to [ 外部接口地址]
-------------------------------------------
   拒绝黑客攻击:
   # iptables -A [FORWARD / INPUUT] -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
    [对碎片进行限制,防止碎片攻击]
   # iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
    [限制ICMP数据包允许一秒通过一个包 限制触发条件是 10 个包 ]
   # iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 
         -j LOG --log-level INFO --log-prefix "IP INPUT packaget died:"
   # iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 
         -j LOG --log-level DEBUG --log-prefix "IP INPUT packaget died:"
   # iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 
         -j LOG --log-level DEBUG --log-prefix "IP INPUT packaget died:"
--------------------------------------------
   拒绝 ping 回应:
   # iptables -A -INPUT -p icmp -i eth0 -j DROP 
   打开内核的路由转发功能:
   # echo "1" > /proc/sys/net/ipv4/ip_forward
   [注意:重启机器后失效,建议写在启动脚本里:/etc/rc.d/rc.local/ 中]
----------------------------------------------
   透明代理重定向配置:
   # iptables -t nat PREROUTING -i eth0 -p tcp -s 192.168.2.0/24 --dport 80 -j REDIRECT --to-port 3128
   保存配置与恢复配置:
   # iptables-save > /etc/sysconfig/iptables[保存路径]
   # iptables-restore  <  /etc/sysconfig/iptables [保存路径]

     本文转自andylhz 51CTO博客,原文链接:http://blog.51cto.com/andylhz2009/361267,如需转载请自行联系原作者

你可能感兴趣的文章
万字长文概述NLP中的深度学习技术
查看>>
当量子计算遇到机器学习
查看>>
关于ScrollView can host only one direct child 问题
查看>>
Android WebView 缓存处理
查看>>
Require的使用 CMD
查看>>
为什么软件定制项目难做?软件外包公司该怎么发展?
查看>>
官方揭秘OpenAI如何打败人类:10个月训练4.5万年
查看>>
一次前端面试经验总结
查看>>
POJ 2479 Maximum sum
查看>>
连线:微软Adobe同仇人忾 谋求配合抗衡苹果
查看>>
python中用os.system+sqlcmd执行sql脚本
查看>>
【PHP cookie | 欢迎效果】
查看>>
PB5.0 features/sysgen参数和ceconfig.h中宏定义的对应关系
查看>>
PHP与MySQL学习笔记8:重要概念与设计Web数据库
查看>>
11.22 访问日志不记录静态文件 11.23 访问日志切割 11.24 静态元素过期时间
查看>>
Bash脚本语法泛述
查看>>
SSH打通密钥后仍需要密码
查看>>
GZIP(1)
查看>>
在线压缩解压缩PHP代码
查看>>
使用vmware vdp备份2008虚机时,如果出错可以参考这篇文章。
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-02-03 14:03:54   当前IP: 18.223.241.58   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我