VPS安全之iptables基本配置 遠離暴力破解
阿新 • • 發佈:2019-01-24
| 看了下secure日誌和access的日誌,一大半都是暴力破解和掃描,雖然哥的密碼極其複雜,不過總被這麼消耗伺服器資源也不是事,索性還是把ssh埠和ftp改了然後寫個iptables稍微保護一下好了。還有個東西叫Fail2Ban,可以自動檢測暴力破解,密碼錯誤超過一定次數就把對端ban掉,不過我實在是不想再開一個服務了,改埠應該問題不大。 |
只是最基本的配置,防禦flood的懶得寫了,真有人跟我有仇要DDOS我的話那就掛了算了...
#配置,禁止進,允許出,允許迴環網絡卡
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT
#允許ping,不允許刪了就行
iptables -A INPUT -p icmp -j ACCEPT
#允許ssh
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#允許ftp
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#允許ftp被動介面範圍,在ftp配置檔案裡可以設定
iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT
#學習felix,把smtp設成本地
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1 iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT
#允許DNS
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
#允許http和https
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#允許狀態檢測,懶得解釋
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP
#儲存配置
iptables-save > /etc/iptables
儲存之後就行了,Debian不需要單獨把iptbles做成服務,具體如何讓iptables開機自動載入,請看文章《Debian下iptables防火牆開機自動載入實現》
我是把上面那段和下面這段都寫到sh裡了,start{}和stop{}。需要修改規則的時候直接清空了重建比較好,因為規則有順序問題。
#清空配置
iptables -F iptables -X iptables -Z iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT