在Ubuntu系统中,使用iptables可以实现多种安全策略,以保护服务器免受未经授权的访问和其他网络威胁。以下是一些常见的iptables安全策略示例:
如果你需要通过SSH远程管理服务器,可以允许特定IP地址或IP段访问SSH端口(默认22)。
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -d 192.168.1.0/24 -m state --state ESTABLISHED -j ACCEPT
如果你需要允许Web服务器接收HTTP(80)和HTTPS(443)请求,可以添加以下规则:
sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
允许服务器进行DNS查询(默认端口53):
sudo iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
默认情况下,阻止所有入站连接,只允许已经建立的连接和上述特定端口的连接:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
如果你需要允许某个特定IP地址访问服务器的所有端口,可以使用以下规则:
sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT
为了确保重启后规则仍然有效,可以使用iptables-persistent工具保存规则:
sudo apt-get install iptables-persistent
sudo netfilter-persistent save
sudo netfilter-persistent reload
你可以使用以下命令查看当前的iptables规则:
sudo iptables -L -v -n
通过以上步骤,你可以使用iptables在Ubuntu系统上实现基本的安全策略。根据具体需求,你可以进一步调整和扩展这些规则。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
相关推荐:ubuntu syslog安全策略