初配iptables

最近网站被挂马，以前给过开发root账号，部署用，后来虽然发现服务器异常文件，但未多想。昨天爆发了网站服务器流量爆表，被迫断网。清除异常文件，账号后领导要设置一下iptables。

iptables有三个链规则 INPUT OUTPUT FORWARD，默认情况下这三个链都是accept。也就是说什么都不配就是全部放行。如果不改变默认规则，那么你百度iptables写入规则放行ssh22 apache80 ftp21端口以为完成了其实相当于什么都没做

那么正常做法是先定义默认规则主要是INPUT 的默认规则为DROP 那么就用什么端口开什么端口其他的包全部丢弃。这样服务器就安全多了。

[[email protected] oracle]#iptables -P INPUT DROP

[[email protected] oracle]#iptables -P OUTPUT DROP

[[email protected] oracle]#iptables -P FORWARD DROP

配置 INPUT链匹配规则

[[email protected] oracle]#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[[email protected] oracle]#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[[email protected] oracle]#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

配置 OUTPUT链匹配规则（如果output默认规则是accept 则不用配）

[[email protected] oracle]#iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

此时测试ssh登录本机127.0.0.1时是不通的因为要开启环回口的规则

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -p all -j ACCEPT

然后ping服务器不通不要急把icmp的包过滤打开

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

注意配iptables时要在机器上配要是ssh连上服务器配第一条 iptables -P INPUT DROP 一敲完你就掉线了。

其他防 syn-flood 丢弃坏的tcp包防ip碎片等百度一下即可。

时间： 2024-08-28 19:18:36

初配iptables的相关文章

Spring初学之Spel初配

Spel又时候可以方便我们为bean的属性赋值,如下配置文件就是常用的一些使用: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLoc

fastcgi 性能初配 504 gateway time-out

情况一:由于nginx默认的fastcgi进程响应缓冲区太小造成这种情况下导致fastcgi进程被挂起,如果fastcgi服务队这个挂起处理不是很好的话,就可能提示"504 Gateway Time-out"错误. 情况一解决办法: 默认的fastcgi进程响应的缓冲区是8K,我们可以设置大一点,在nginx.conf里,加入:fastcgi_buffers 8 128k 这表示设置fastcgi缓冲区为8块128k大小的空间. 情况一解决办法(改进): 在上述方法修改后,如

RedHat iptables配置实例

iptables配置实例 iptables 基本命令使用举例一.链的基本操作 1.清除所有的规则. 1)清除预设表filter中所有规则链中的规则. # iptables -F 2)清除预设表filter中使用者自定链中的规则. #iptables -X #iptables -Z 2.设置链的默认策略.一般有两种方法. 1)首先允许所有的包,然后再禁止有危险的包通过放火墙. #iptables -P INPUT ACCEPT #iptables -P OUTPUT ACCEP

Zookeeper集群的搭建与调试

Zookeeper的下载地址:https://github.com/apache/zookeeper/archive/master.zip zkclient的下载地址:https://github.com/sgroschupf/zkclient 至于zookeeper的作用和原理我这里就不多赘述了,大家有兴趣可以去查查,这里主要就是动手操作. 搭建集群首先先看一下本次zk实验服务器的名称和IP情况,这里我们选择了三台服务器作zkserver,因为三台是标配,一台的话就只有leader没有fol

linux服务器做路由，映射同网段机器

机器1:有一个内网IP,一个外网IP 内网:eth0:192.168.10.10 外网:eth1:10.10.10.10 机器2:与机器1内网同一网段,无外网IP 内网:eth0:192.168.10.11 机器1做路由器,映射机器2,使机器2可以上网,从外网连接机器2 步骤一: 配置机器2的网关为机器1 步骤二: 机器1:添加转发功能 vi /etc/sysctl.conf net.ipv4.ip_forward=1 sysctl -p 步骤三: 使用机器2可以访问外网,在机器1上配iptab

CCNA 课程二

传输层:两个重要的协议 TCP 和 UDP TCP: 面向连接的协议:在传输用户数据前,先要建立连接 (TCP的三次握手) 错误检查数据包序列化可靠性传输:发送的数据需要接受者提供确认,通过报头中的序列号和确认号来完成. 数据恢复功能 UDP 属无连接协议提供有限的错误检查提供尽力传输不具备数据恢复功能 UDP报头比TCP报头字简单,功能少,但传输效率高 ² 三层对应四层看IP报头中的 protocol字段 6 = TCP , 17 = UDP ² 四层对应应用层看TCP和U

动物：黄鼬、黄鼠狼

ylbtech-动物:黄鼬.黄鼠狼黄鼬(学名:Mustela sibirica):是哺乳纲.鼬科的小型的食肉动物.俗名黄鼠狼.体长28-40厘米,尾长12-25厘米,体重210-1200克.雌性小于雄性1/2-1/3.头骨为狭长形,顶部较平.体形中等,身体细长.头细,颈较长.耳壳短而宽,稍突出于毛丛.尾长约为体长之半.冬季尾毛长而蓬松,夏秋毛绒稀薄,尾毛不散开.四肢较短,均具5趾,趾端爪尖锐,趾间有很小的皮膜.肛门腺发达.雄兽的阴茎骨基部膨大成结节状,端部呈钩状.周身皮毛棕黄或橙黄色. 栖息于

初窥netfilter/iptables

做这个东西太麻烦了,一不小心,就被自己关门外了. ---------------------------------------------- 一.前言二.环境三.语法解析四.配置及测试 1.SNAT案例 2.DNAT案例 3.SSH案例 4.SSH深入案例(自定义规则) 5.web和ftp(自定义规则) 6.web和ftp(系统默认规则) 五.保存 ---------------------------------------------- 一.前言 iptables即Linux 内核集

Linux防火墙iptables/netfilter（一）

防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险.在如今广阔的互联网领域内,我们一般会相信一个叫做"黑暗森林"的法则.对于这个法则大家可以去搜索一下,它是在<三体>系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意, 对方也无法判断我们是否有恶意,所以一见面就把对方灭掉.互联网中的恶意攻击者太多了,我们无法确定它们都是水更无法把它们灭掉,但是我们可以把