在Linux系统中,通过使用iptables防火墙,能够增强系统的安全性。下面将从CentOS6普通Web服务器入手,介绍iptables相关配置。
1.修改默认iptables规则,禁用所有通讯,修改成如下内容:
vim /etc/sysconfig/iptables :INPUT DROP [0:0] :FORWARD DROP [0:0]
2.规范ping命令
-A INPUT -p icmp --icmp-type echo-relay -j ACCEPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT #限制ping应用于系统的比特率 -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
3.阻止可疑私有IP地址
如果是双网卡,eth0直连互联网拥有固定IP,则可拒绝私网地址从eth0访问
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP -A INPUT -i eth0 -s 224.0.0.0/4 -j DROP -A INPUT -i eth0 -s 240.0.0.0/5 -j DROP
4.规范SSH的访问
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHAIN -A SSH_CHAIN -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent--update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
转载请注明:自动化运维 » Linux服务器使用iptables 增强系统安全