知识库

记录共享技术内容

Linux服务器使用iptables 增强系统安全

在Linux系统中,通过使用iptables防火墙,能够增强系统的安全性。下面将从CentOS6普通Web服务器入手,介绍iptables相关配置。

1.修改默认iptables规则,禁用所有通讯,修改成如下内容:

vim /etc/sysconfig/iptables

:INPUT DROP [0:0]
:FORWARD DROP [0:0]

2.规范ping命令

-A INPUT -p icmp --icmp-type echo-relay -j ACCEPT
-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
#限制ping应用于系统的比特率
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3.阻止可疑私有IP地址
如果是双网卡,eth0直连互联网拥有固定IP,则可拒绝私网地址从eth0访问

-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth0 -s 224.0.0.0/4 -j DROP
-A INPUT -i eth0 -s 240.0.0.0/5 -j DROP
4.规范SSH的访问
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHAIN
-A SSH_CHAIN -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent--update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
点赞

Leave a Reply

Your email address will not be published. Required fields are marked *