centos生产环境网站服务器iptables这样设置有没有问题?

大大g 发布于 2018/07/10 16:14
阅读 148
收藏 0

注:
1、不需要dns服务,对需要请求的域名都已经加入hosts本地解析;
2、web为http,不使用https;
3、禁ping。
---------------------------------------------------------------------
以下为设置的iptables规则:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
#允许ip.taobao.com
-A OUTPUT -p tcp -d 139.196.2.126 -j ACCEPT

-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT

有没有什么问题或者需要优化的地方,尤其是安全方面。

加载中
0
彭添
彭添

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P INPUT DROP
iptables -P INPUT DROP

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT 
iptables -A INPUT -s 127.0.0.0/8 -m state --state NEW -j DROP 
iptables -A INPUT -d 127.0.0.0/8 -m state --state NEW -j DROP
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT 
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -d 139.196.2.126 -j ACCEPT

不是很清楚你taobao那个是什么意思,否则还可以限制下,其实OUTPUT可以完全放开的,因为一般主动出去的话就是CDN或者什么oauth之类的

返回顶部
顶部