117笔记问答CentOS中的iptables是一个强大的防火墙工具,可以帮助您保护服务器的安全。以下是一些建议和步骤,使用iptables来提高服务器安全性:
-
清除默认规则:
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
-
允许已建立的连接和相关的数据包通过:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-
允许SSH连接(假设SSH端口为22):
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-
允许本地回环接口的流量:
iptables -A INPUT -i lo -j ACCEPT
-
允许已知的ICMP请求(如ping):
iptables -A INPUT -p icmp --icmp-type echo-request -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-
限制特定IP地址或子网的访问(例如,允许IP地址192.168.1.0/24访问SSH):
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
-
限制连接速率以防止暴力破解攻击:
iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP
-
保存iptables规则:
service iptables save
-
设置iptables开机自启:
chkconfig iptables on
请注意,这只是一个基本的示例,您可能需要根据您的具体需求进行调整。在生产环境中,建议使用更高级的防火墙工具(如firewalld)来管理服务器的安全策略。