vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一。linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉。
目前这台vps上开启的服务有ssh,ftp,pptpd,shadowsocks等。
防火墙策略是默认策略是DROP的。
防火墙策略配置:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
[root@vultr scripts]# cat iptables.sh
#/bin/bash
#date:2017-04-10
#author:xjh
#调试追踪
#set -x
#清除规则
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#设定默认规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#允许已建立的连接
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#开启环回网络
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#开启DNS解析
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
#开启shadowsocks代理端口
iptables -A INPUT -p tcp -m multiport –dports 8080,8081,8082 -m state –state NEW -j ACCEPT
#OUTPUT链默认DROP,shadowsocks服务随机端口去连外网,没好的办法暂时就开目的地址80,443
iptables -A OUTPUT -p tcp -m multiport –dports 80,443 -j ACCEPT
#开启ftp服务端口端口(写ftp策略iptables需要加模块)
iptables -A INPUT -p tcp –dport 21 -m state –state NEW -j ACCEPT
iptables -A INPUT -p tcp –dport 20 -m state –state NEW -j ACCEPT
#开启ssh服务端口并限制登录频率
iptables -A INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set
iptables -A INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 300 –hitcount 5 -j DROP
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT
#开启端口转发
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp –dport 1723 -m state –state NEW -j ACCEPT
iptables -A FORWARD -s 10.0.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 10.0.1.0/24 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT –to-source 45.76.210.222
#兼容windows系统pptp客户端MTU值
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -s 10.0.1.0/24 -j TCPMSS –set-mss 1400
#保存配置
/etc/init.d/iptables save
不断的挖坑填坑,似乎又找到了一点点感觉,后续会再改改,完善完善。
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。