Linux
需要關於 iptables 的建議
伙計們!:-) 。
我需要您就我的 iptables 設置提供(幾個?)建議。我對 iptables 很陌生,這是我第一次將 iptables 配置為僅作為防火牆的伺服器(我們沒有錢也沒有時間預先設置“真正的”防火牆)。
我只想從 specific.location.com 通過 SSH 連接到我的伺服器。
因此,我在 INPUT 中設置了以下規則:
target in out source destination ACCEPT lo any localhost anywhere ACCEPT any any specific.location.com myserver.local tcp dpt:ssh
我的預設政策是:
INPUT DROP FORWARD DROP OUTPUT ACCEPT
使用第一個配置,我能夠連接到我的伺服器,但無法訪問外部(如 google.com),並且連接速度非常慢。
我知道我的防火牆沒有任何規則,包括數據包中的“ESTABLISHED”狀態。確實,我猜我的包裹可以出去,但不被允許回來……
所以我添加了這條規則:
target in out source destination ACCEPT any any anywhere anywhere state ESTABLISHED
現在一切都像魅力一樣,我可以從伺服器外部訪問,連接速度像以前一樣快,我只能從 specific.location.com 以 SSH 方式訪問我的伺服器!
我唯一的問題是我需要你的建議,這是一個乾淨的配置嗎?我在網際網路上找不到任何這樣的例子,所以我很想知道……
還是我只是犯了一個巨大的安全錯誤?!
謝謝你們的幫助:-)
典型地,該 ESTABLISHED 規則實際上是 RELATED,ESTABLISHED。但它不會影響 SSH 或 HTTP(S)——不同之處在於 RELATED 還包含技術上新的連接,但與現有連接相關,如 FTP 數據通道通信或 ICMP 回顯回复。
總的來說,你在這裡所做的一切都很好。