웹 서버에 적합한 iptables 규칙
- #! /bin/sh
- # /etc/iptables.bak
-
- # Let's save typing & confusion with variables
- IPTABLES=/sbin/iptables
-
- # Flush active rules and custom tables
- $IPTABLES --flush
- $IPTABLES --delete-chain
-
- # set the defaults so that by-default incoming packets are dropped, unless explicitly allowed;
- # for a desktop workstation, we'll let lots of (unpredictable) outgoing packets go freely.
- $IPTABLES -P INPUT DROP
- $IPTABLES -P FORWARD DROP
- $IPTABLES -P OUTPUT ACCEPT
-
- # INBOUND POLICY
- # ==============
- # of course, accepting loopback is a good idea
- $IPTABLES -A INPUT -i lo -j ACCEPT
-
- # we will permit ping, but rate-limit type 8 to prevent DoS-attack
- $IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
- $IPTABLES -A INPUT -p icmp --icmp-type 3 -j ACCEPT
- $IPTABLES -A INPUT -p icmp --icmp-type 11 -j ACCEPT
- $IPTABLES -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
-
- # (Applies to packets entering our network interface from the network,
- # and addressed to this host.)
-
- $IPTABLES -A INPUT -m state --state INVALID -j DROP
- $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-
- # ftp incoming
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 20 -j ACCEPT
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
-
- # ssh incoming, including non-standard port (if needed)
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
- #$IPTABLES -A INPUT -p tcp -m state --state NEW --dport 222 -j ACCEPT
-
- # web serving, let's allow it!
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT
-
- # secure web serving, let's allow it!
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT
-
- # amanda tape-backups; we reach out and tape things from this machine
- $IPTABLES -A INPUT -p udp -m state --state NEW -m udp --dport 10080 -j ACCEPT
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 10082 -j ACCEPT
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 10083 -j ACCEPT
-
- # nagios (5666); monitor time (123), allow snmp (161)
- $IPTABLES -A INPUT -p tcp -m state --state NEW --dport 5666 -j ACCEPT
- $IPTABLES -A INPUT -p udp -m udp --dport 123 -j ACCEPT
- $IPTABLES -A INPUT -p udp -m udp --dport 161 -j ACCEPT
-
-
- # OUTBOUND POLICY
- # ===============
- # of course, accepting loopback is a good idea
- $IPTABLES -A OUTPUT -o lo -j ACCEPT
-
- # (Applies to packets sent to the network interface from local processes)
-
- $IPTABLES -A OUTPUT -j ACCEPT
, /etc/iptables.bak。
:
- sh /etc/iptables.bak
:
- iptables -L
:
- service iptables save
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
집 서버 설계 (하드웨어 편)자신의 Redmine이나 ownCloud를 운용하기 위해 사쿠라 VPS, DigitalOcean, OpenShift 등을 놀랐습니다만, 침착 해 왔으므로 현상을 정리하고 싶습니다. 먼저 하드웨어 구성을 정리합니다. ...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
