CentOS 使用 iptables 作為其默認的防火墻��,可以通過配置 iptables 規則來保護網絡安全�。以下是一些基本的步驟和策略���,用于使用 iptables 提高 CentOS 系統的安全性:
-
默認策略設置:
- 設置默認策略為 DROP���,這意味著除非明確允許����,否則所有流量都將被丟棄�����。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
-
允許已建立的連接:
- 允許已經建立的連接和相關的數據包通過�,這有助于維護現有的連接���。
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-
允許SSH連接:
- 如果你需要遠程訪問服務器�,確保只允許來自可信IP地址的SSH連接�。
iptables -A INPUT -p tcp --dport 22 -s <可信IP地址> -j ACCEPT
-
限制SSH嘗試:
- 為了防止暴力破解攻擊�����,可以限制SSH登錄嘗試的頻率�����。
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
-
允許HTTP和HTTPS連接:
- 如果你的服務器提供網頁服務��,允許HTTP(80)和HTTPS(443)流量�����。
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
-
允許DNS查詢:
- 允許DNS查詢���,以便服務器可以解析域名�����。
iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-
日志記錄:
- 記錄被拒絕的連接嘗試�����,以便于后續分析和監控��。
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
-
保存規則:
- 保存iptables規則��,以便在系統重啟后仍然有效���。
service iptables save
-
定期審查和更新規則:
- 定期審查iptables規則�����,確保它們仍然符合你的安全需求�����,并根據新的威脅更新規則�。
請注意����,iptables 配置可能會因服務器的具體用途和安全需求而有所不同�����。在生產環境中應用任何iptables規則之前����,請確保你完全理解每條規則的作用����,并在測試環境中驗證其效果��。此外�����,對于更復雜的安全策略����,可能需要考慮使用更高級的防火墻工具�,如 firewalld 或第三方解決方案�。
