linux – IPtables锁定网站只允许SSH

概述我编写了第一个IPtables规则文件,试图在除SSH和Web所需端口之外的所有端口上保护我的服务器. 这就是我想出的： i=/sbin/iptables# Flush all rules$i -F$i -X# Setup default filter policy$i -P INPUT DROP$i -P OUTPUT DROP$i -P FORWARD DROP# All 我编写了第一个IPtables规则文件,试图在除SSH和Web所需端口之外的所有端口上保护我的服务器.

这就是我想出的：

i=/sbin/iptables# Flush all rules$i -F$i -X# Setup default filter policy$i -P input DROP$i -P OUTPUT DROP$i -P FORWARD DROP# Allow unlimited traffic on loopback$i -A input -i lo -j ACCEPT$i -A OUTPUT -o lo -j ACCEPT# Open up ports for Nginx$i -A input -p tcp --dport 443 -j ACCEPT$i -A input -p tcp --dport 80 -j ACCEPT$i -A input -p tcp --dport 22 -j ACCEPT# Make sure nothing comes or goes out of this Box$i -A input -j DROP$i -A OUTPUT -j DROP

我知道在IP表方面有一些黑色艺术,所以我想知道是否有人可以投入,看看这是否是保护Web服务器的正确方法.

解决方法 您可能不希望删除所有传出连接.

您可能希望尽早添加规则以允许ESTABliSHED连接,如果使用像ftp这样的协议,您可能会将RELATED添加到规则中,例如

-A input -m state --state ESTABliSHED,RELATED -j ACCEPT

记住规则顺序很重要 – 第一场比赛胜利.

你应该看看我们在保护网络服务器Tips for Securing a LAMP Server时所拥有的这个Q& A它有很多很棒的信息.

总结

以上是内存溢出为你收集整理的linux – IPtables锁定网站只允许SSH全部内容，希望文章能够帮你解决linux – IPtables锁定网站只允许SSH所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。