技术频道

公众号推荐

微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦！

这是Linux中iptables的一个很好的起点吗？

时间：2020-06-28分类：Linux作者：编程之家AI导航网

我是iptables的新手,我一直在尝试组建一个防火墙,其目的是保护Web服务器.以下规则是我到目前为止所组建的规则,我想听听这些规则是否有意义 – 而且我已经遗漏了任何必要的东西？

除了端口80,我还需要为外部连接打开端口3306(mysql)和22(ssh).

任何反馈都非常感谢！

#!/bin/sh

# Clear all existing rules.
iptables -F

# ACCEPT connections for loopback network connection,127.0.0.1.
iptables -A INPUT -i lo -j ACCEPT

# ALLOW established traffic
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# DROP packets that are NEW but does not have the SYN but set.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# DROP fragmented packets,as there is no way to tell the source and destination ports of such a packet.
iptables -A INPUT -f -j DROP

# DROP packets with all tcp flags set (XMAS packets).
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# DROP packets with no tcp flags set (NULL packets).
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# ALLOW ssh traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport ssh -m limit --limit 1/s  -j ACCEPT

# ALLOW http traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport http -m limit --limit 5/s -j ACCEPT

# ALLOW MysqL traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport MysqL -m limit --limit 25/s -j ACCEPT

# DROP any other traffic.
iptables -A INPUT -j DROP

解决方法

试试shorewall,提供开箱即用的合理防火墙.从网络启用对所需服务的访问.有一个,两个和三个接口的示例规则集.文档很好,并且积极维护.

我希望您能够限制哪些地址可以轻松访问MysqL.除非您最近探测过另一个端口,否则您还可以在端口关闭的情况下使用端口敲门来保护SSH.

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

上一篇：linux – 如何查看使用dd克隆的完整下一篇：linux – 期望脚本支持两个预期的字

相关推荐

Linux系统控制文件 /etc/sysctl.conf详解

/etc/sysctl.conf这个目录主要是配置一些系统信息，/etc/sysctl.conf参数解释: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

作者：夏威夷8080 时间：2024-10-25

linux命令useradd添加用户详解

1.作用 useradd或adduser命令用来建立用户帐号和创建用户的起始目录，使用权限是超级用户。 2.格式 useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p p

作者：夏威夷8080 时间：2024-10-25

vi 和vim 的区别

它们都是多模式编辑器，不同的是vim 是vi的升级版本，它不仅兼容vi的所有指令，而且还有一些新的特性在里面。 vim的这些优势主要体现在以下几个方面：1、多级撤消我们知道在vi里，按 u只能撤消上次命令，而在vim里可以无限制的撤消。 2、易用性 vi只能运行于unix中，而vim不仅可以运行于u

作者：夏威夷8080 时间：2024-10-25

Linux系统下如何监测磁盘的使用空间

不管是我们在安装软件还是监测软件的使用性能，我们都要随时掌握系统磁盘的使用情况。使用df命令 df df命令用于显示磁盘分区上的可使用的磁盘空间。默认显示单位为KB。可以利用该命令来获取硬盘被占用了多少空间，目前还剩下多少空间等信息。每列从左到右依次的意思是设备的设备文件位置；能容纳多少个1

作者：夏威夷8080 时间：2024-10-25

linux中查看和开放端口

装好Tomcat7后，发现除了本机能访问外界访问不了，岂有此理。于是请教百度大神，在费一番周折后，总结步骤如下： 1.修改文件/etc/sysconfig/iptables [root@bogon ~]# cd /etc/sysconfig/[root@bogon sysconfig]#&

作者：夏威夷8080 时间：2024-10-25

Linux设置开放一个端口

修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件，如果要开放哪个端口，在里面添加一条。 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT 就可以了，其中 1

作者：夏威夷8080 时间：2024-10-25

linux之ftp命令详解

我们在使用ftp客户端访问到ftp服务器之后，往往需要进行相关操作，比如从远程机器上下载文件，或者将文件传输到远程机器上。需要使用ftp的相关命令，本文讲述了ftp常用的一些操作。我们在使用ftp客户端访问到ftp服务器之后，往往需要进行相关操作，比如从远程机器上下载文件，或者将文件传输到远程机器

作者：夏威夷8080 时间：2024-10-25

linux系统下实时监控进程以及定位杀死挂起的进程

一、实时监测进程输出的第一部分显示的是系统的概况：第一行显示了当前时间、系统的运行时间、登录的用户数以及系统的平均负载。平均负载有3个值：最近1分钟的、最近5分钟的和最近15分钟的平均负载。值越大说明系统的负载越高。由于进程短期的突发性活动，出现最近1分钟的高负载值也很常见，但如果近15分钟内

作者：夏威夷8080 时间：2024-10-25

Linux下安装jdk8的方法

一、yum安装只需要一条命令就可以安装jdk：执行过这条命令无需配置，直接可以使用。二、下载tar包安装下载jdk8 登录网址：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.htm

作者：夏威夷8080 时间：2024-10-25

阿里云被挖矿进程wnTKYg入侵的解决方法

杀wnTKYg病毒分两步，第一是找到它的来源，切断入口，第二步，找到它的守护进程并杀死，然后再去杀死病毒进程，有的守护进程很隐蔽，唤醒病毒之后，自动消亡，这时候top就看不到了，要留心。最近项目在做性能测试，发现CPU使用率异常，无人访问时CPU也一直保持75%，然后在xShell上top了一下，

作者：夏威夷8080 时间：2024-10-25

小编推荐

苹果市值2025年有望达4万亿美元