如何用iptables提升centos安全性 - 问答

使用iptables来提升CentOS的安全性是一个常见的做法。iptables是Linux系统中的一个命令行工具，用于配置内核防火墙（netfilter）的规则。以下是一些基本的步骤和策略，可以帮助你使用iptables来增强你的CentOS系统的安全性：

默认策略设置：
- 设置默认策略为DROP，这意味着只有明确允许的流量才能通过。
```
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
```

允许必要的服务：

允许SSH连接（通常是22端口），但限制只有特定IP地址可以访问。

iptables -A INPUT -p tcp --dport 22 -s <允许的IP地址> -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许HTTP（80端口）和HTTPS（443端口）服务。

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

限制ICMP请求：

限制ping请求，以防止简单的ping洪水攻击。

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

防止IP欺骗：

拒绝源地址伪造的流量。

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

限制连接速率：

对于新连接，可以限制每秒的连接数，以防止DDoS攻击。

iptables -A INPUT -m conntrack --ctstate NEW -m limit --limit 5/min -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -j DROP

日志记录：

记录被拒绝的连接尝试，以便于监控和审计。

iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4

保存iptables规则：
- 保存iptables规则，以便在系统重启后仍然有效。
```
service iptables save
```

使用firewalld：

CentOS 7及更高版本推荐使用firewalld作为防火墙管理工具，它提供了更动态的管理方式。

systemctl start firewalld
systemctl enable firewalld
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

请记住，iptables规则可能会非常复杂，错误的配置可能会导致服务不可用。在生产环境中应用这些规则之前，建议在测试环境中进行充分的测试。此外，安全是一个持续的过程，应该定期审查和更新你的安全策略。

0 赞

0 踩