Debian系統中的iptables是一個強大的防火墻工具,通過合理配置iptables規則,可以顯著提高系統的安全性。以下是一些提高Debian系統安全性的iptables配置方法:
iptables基于Linux內核的netfilter框架工作,通過在內核網絡協議棧的不同位置設置鉤子(hook),實現對數據包的過濾和處理。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允許SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允許HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允許HTTPS
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
ipset create iplist hash:ip
ipset add iplist 192.168.1.100
ipset add iplist 192.168.1.101
iptables -A INPUT -m set --match-set iplist dst -j ACCEPT
/etc/network/if-pre-up.d/iptables
文件,添加以下內容:#!/bin/sh
/sbin/iptables-restore < /etc/iptables.up.rules
并賦予執行權限:
chmod +x /etc/network/if-pre-up.d/iptables
iptables -A INPUT -j LOG --log-prefix "iptables denied: " --log-level 7
通過上述配置,可以顯著提高Debian系統使用iptables時的安全性。務必在配置前仔細規劃,并在生產環境中進行充分測試。