51学通信论坛2017新版

标题: iptables初始策略浅谈 [打印本页]

作者: admin 时间: 2017-11-15 21:10
标题: iptables初始策略浅谈
刚接触iptables的同学们都可能或多或少碰到过各种坑，有时候甚至把自己挡在防火墙之外

[attach]5396[/attach]

吓傻

这时候，配置一些关键的iptables策略足以防范自己粗心导致的错误。

首先，你的INPUT链默认策略肯定是ACCEPT状态（好像是废话），然后添加一条允许系统已建立的网络连接通行的策略，防止已建立的连接被墙：
iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
其次，要允许loopback地址，也就是127.0.0.1接口，这样监听本地或者本机要访问127.0.0.1的都不会被防火墙阻挡，防止出现各种意想不到的坑：
iptables -I INPUT 2 -i lo -j ACCEPT
再次，请开放SSH端口，默认22，这个估计远程连接配置iptables的都有可能被它坑过，本地有固定IP的话，安全起见，只允许固定IP访问（示例为x.x.x.x代替）：
iptables -I INPUT 3 -s x.x.x.x -p tcp --dport 22 -j ACCEPT
然后再对你想要放行的服务端口做防火墙策略
完成后，你的INPUT策略可以设置默认DROP了，或者在INPUT链最底部增加拒绝所有的策略。
当然，如果想SSH访问更安全，推荐禁用密码登录，禁止root远程登录，使用具有sudo权限的用户通过密钥的方式认证登录。

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。

欢迎光临 51学通信论坛2017新版 (http://bbs.51xuetongxin.com/)