阅读量:0
在Linux中,iptables是一个功能强大的防火墙工具,用于配置和管理内核级的网络防火墙规则。以下是一些建议的安全策略设置:
- 允许所有传入的SSH连接(通常用于远程管理):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- 允许所有已建立的连接和相关的数据包:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 允许所有传入的HTTP和HTTPS连接:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- 限制传入的ICMP请求(例如,禁止ping):
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
- 限制每秒传入的SYN包数量,以防止DDoS攻击:
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j REJECT
- 允许所有已建立的连接和相关的数据包传出:
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 允许所有已建立的连接和相关的数据包传入:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 限制所有传入的数据包速率,以防止DDoS攻击:
iptables -A INPUT -m limit --limit 5/second -j ACCEPT iptables -A INPUT -j DROP
- 允许所有已建立的连接和相关的数据包传出:
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 设置默认策略为拒绝所有传入和传出的连接:
iptables -P INPUT DROP iptables -P OUTPUT DROP
请注意,这些规则仅作为示例,您应根据实际需求进行调整。在应用这些规则之前,请确保您拥有足够的权限,并对潜在的安全风险有充分了解。在生产环境中部署之前,建议进行充分的测试。