欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

linux vps服务器常用服务iptables策略

程序员文章站 2023-11-22 16:03:40
vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一。linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘...

vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一。linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉。
目前这台vps上开启的服务有ssh,ftp,pptpd,*等。
防火墙策略是默认策略是drop的。
防火墙策略配置:

[root@vultr scripts]# cat iptables.sh 
#/bin/bash
#date:2017-04-10
#author:xjh
#调试追踪
#set -x
#清除规则
iptables -f
iptables -x
iptables -z
iptables -t nat -f
iptables -t nat -x
iptables -t nat -z
iptables -p input accept
iptables -p output accept
iptables -p forward accept
#设定默认规则
iptables -p input drop
iptables -p output drop
iptables -p forward drop
#允许已建立的连接
iptables -a input -m state --state established,related -j accept
iptables -a output -p tcp -m state --state established,related -j accept
#开启环回网络
iptables -a output -o lo -j accept
iptables -a input -i lo -j accept
#开启dns解析
iptables -a output -p udp --dport 53 -j accept
#开启*代理端口
iptables -a input -p tcp -m multiport --dports 8080,8081,8082 -m state --state new -j accept
#output链默认drop,*服务随机端口去连外网,没好的办法暂时就开目的地址80,443
iptables -a output -p tcp -m multiport --dports 80,443 -j accept
#开启ftp服务端口端口(写ftp策略iptables需要加模块)
iptables -a input -p tcp --dport 21 -m state --state new -j accept
iptables -a input -p tcp --dport 20 -m state --state new -j accept
#开启ssh服务端口并限制登录频率
iptables -a input -p tcp --dport 22 -i eth0 -m state --state new -m recent --set
iptables -a input -p tcp --dport 22 -i eth0 -m state --state new -m recent --update --seconds 300 --hitcount 5 -j drop
iptables -a input -p tcp --dport 22 -m state --state new -j accept
#开启端口转发
iptables -a input -p gre -j accept
iptables -a output -p gre -j accept
iptables -a input -p tcp --dport 1723 -m state --state new -j accept
iptables -a forward -s 10.0.1.0/24 -o eth0 -j accept
iptables -a forward -d 10.0.1.0/24 -i eth0 -j accept
iptables -t nat -a postrouting -s 10.0.1.0/24 -o eth0 -j snat --to-source 45.76.210.222
#兼容windows系统pptp客户端mtu值
iptables -a forward -p tcp --tcp-flags syn,rst syn -s 10.0.1.0/24 -j tcpmss --set-mss 1400
#保存配置
/etc/init.d/iptables save

不断的挖坑填坑,似乎又找到了一点点感觉,后续会再改改,完善完善。