如何阻止除1962,999,12020之外的所有端口?
一个用于SSH的端口和另外两个用于某种脚本的端口.那么,有必要在这些端口上允许传出,对吗?
我的iptables:
# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *mangle :PREROUTING ACCEPT [643521:136954367] :INPUT ACCEPT [643521:136954367] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [645723:99904505] :POSTROUTING ACCEPT [645723:99904505] COMMIT # Completed on Sat Feb 25 17:25:21 2012 # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *filter :INPUT ACCEPT [643490:136950781] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [645723:99904505] -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT COMMIT # Completed on Sat Feb 25 17:25:21 2012 # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *nat :PREROUTING ACCEPT [5673:734891] :POSTROUTING ACCEPT [2816:179474] :OUTPUT ACCEPT [2816:179474] COMMIT # Completed on Sat Feb 25 17:25:21 2012
对不起,但对于这些东西,我是一个真正的新手,我只是想让我的服务器更安全.
起初你应该总是冲洗,以确定已经定义了什么……没有
iptables -F
如果到达结尾并且没有匹配规则,则将INPUT链的默认策略设置为DROP:
iptables -P INPUT DROP
为确保环回不受影响,您应该添加
iptables -A INPUT -i lo -p all -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
允许所有流量在你所建立的连接的lo-if和每个incomming流量上.之后添加您的服务所需的每条规则(如果需要,请不要忘记打开ssh!否则你就出局了):
iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT
我做的一个小技巧是让自己和其他人不小心钻进安全漏洞我最后添加:
iptables -A INPUT -j DROP
此行匹配INPUT链的所有内容,策略不应获取任何内容.这样做的好处是,即使您在初始化规则集后的某个时间添加了ACCEPT规则,它也永远不会被检查,因为之前所有内容都已被删除.所以它确保你必须把所有东西都放在一个地方.
对于你的问题,整个事情总结如下:
iptables -F iptables -P INPUT DROP iptables -A INPUT -i lo -p all -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT iptables -A INPUT -j DROP