使用 iptables 在 Debian 服务器上设置访问控制是一种常见的安全措施。以下是一些基本的步骤和示例,帮助你配置 iptables 来保护你的服务器。
首先,确保你的系统是最新的:
sudo apt update && sudo apt upgrade -y
在开始配置之前,查看当前的iptables规则:
sudo iptables -L -n -v
为了安全起见,建议将默认策略设置为拒绝所有流量,然后明确允许特定的流量。
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
假设你想允许通过SSH(默认端口22)进行远程访问:
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
如果你需要允许Web服务器的流量:
sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
如果你想允许特定的IP地址访问你的服务器,可以使用以下命令:
sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT
默认情况下,iptables规则在重启后不会保存。你可以使用 iptables-persistent 来保存规则:
sudo apt install iptables-persistent -y
在安装过程中,系统会提示你是否保存当前的iptables规则。选择“是”。
你可以随时查看保存的iptables规则:
sudo iptables -L -n -v
如果你需要删除某个规则,可以使用以下命令:
sudo iptables -D INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
通过以上步骤,你可以使用 iptables 在 Debian 服务器上设置基本的访问控制。根据你的具体需求,你可以进一步调整和扩展这些规则。