Linux

需要關於 iptables 的建議

  • March 10, 2015

伙計們!:-) 。

我需要您就我的 iptables 設置提供(幾個?)建議。我對 iptables 很陌生,這是我第一次將 iptables 配置為僅作為防火牆的伺服器(我們沒有錢也沒有時間預先設置“真正的”防火牆)。

我只想從 specific.location.com 通過 SSH 連接到我的伺服器。

因此,我在 INPUT 中設置了以下規則:

target      in     out     source                       destination
ACCEPT      lo     any     localhost                    anywhere
ACCEPT      any    any     specific.location.com        myserver.local    tcp dpt:ssh

我的預設政策是:

INPUT DROP
FORWARD DROP
OUTPUT ACCEPT

使用第一個配置,我能夠連接到我的伺服器,但無法訪問外部(如 google.com),並且連接速度非常慢。

我知道我的防火牆沒有任何規則,包括數據包中的“ESTABLISHED”狀態。確實,我猜我的包裹可以出去,但不被允許回來……

所以我添加了這條規則:

target      in     out     source                       destination
ACCEPT      any    any     anywhere                     anywhere           state ESTABLISHED

現在一切都像魅力一樣,我可以從伺服器外部訪問,連接速度像以前一樣快,我只能從 specific.location.com 以 SSH 方式訪問我的伺服器!

我唯一的問題是我需要你的建議,這是一個乾淨的配置嗎?我在網際網路上找不到任何這樣的例子,所以我很想知道……

還是我只是犯了一個巨大的安全錯誤?!

謝謝你們的幫助:-)

典型地,該 ESTABLISHED 規則實際上是 RELATED,ESTABLISHED。但它不會影響 SSH 或 HTTP(S)——不同之處在於 RELATED 還包含技術上新的連接,但與現有連接相關,如 FTP 數據通道通信或 ICMP 回顯回复。

總的來說,你在這裡所做的一切都很好。

引用自:https://serverfault.com/questions/671911