阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

VPS安全之iptables基本配置 远离暴力破解

98次阅读
没有评论

共计 1303 个字符,预计需要花费 4 分钟才能阅读完成。

导读 看了下 secure 日志和 access 的日志,一大半都是暴力破解和扫描,虽然哥的密码极其复杂,不过总被这么消耗服务器资源也不是事,索性还是把 ssh 端口和 ftp 改了然后写个 iptables 稍微保护一下好了。还有个东西叫 Fail2Ban,可以自动检测暴力破解,密码错误超过一定次数就把对端 ban 掉,不过我实在是不想再开一个服务了,改端口应该问题不大。

只是最基本的配置,防御 flood 的懒得写了,真有人跟我有仇要 DDOS 我的话那就挂了算了 …

# 配置,禁止进,允许出,允许回环网卡

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# 允许 ping,不允许删了就行

iptables -A INPUT -p icmp -j ACCEPT

# 允许 ssh

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

# 允许 ftp

iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

# 允许 ftp 被动接口范围,在 ftp 配置文件里可以设置

iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT

# 学习 felix,把 smtp 设成本地

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT

# 允许 DNS

iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

# 允许 http 和 https

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# 允许状态检测,懒得解释

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP

# 保存配置

iptables-save > /etc/iptables

保存之后就行了,Debian 不需要单独把 iptbles 做成服务,具体如何让 iptables 开机自动加载,请看文章《Debian 下 iptables 防火墙开机自动加载实现》

我是把上面那段和下面这段都写到 sh 里了,start{} 和 stop{}。需要修改规则的时候直接清空了重建比较好,因为规则有顺序问题。

# 清空配置

iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-24发表,共计1303字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中