iptable 做nat 是不是只要input和output全拒绝 服务器本机就绝对安全了?
我用iptables做nat
脚本如下(暂时只要一个共享上网功能 先做的比较简单)
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 外网地址
是不是只要放行FORWARD链就可以了?
input和output全拒绝 是不是就代理本机就足够安全了?
我刚接触linux不久 大家帮我看看吧
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(8)
可以。
要绝对安全吗?我给一个方案你:
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
后生仔,绝对安全是没有的。除非……除非,你把网络断开,把电源给拔了,再挖个洞,把服务器给埋了,再在上面起个土垒堆。
认真点,给你个方案吧:
REROUTING ACCEPT [596:53208]
OSTROUTING ACCEPT [0:0]
# Generated by iptables-save v1.2.11 on Fri Jun 16 13:31:45 2006
*filter
:INPUT DROP [67:9756]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [78:6451]
:CUS - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j CUS
-A INPUT -i ppp0 -j CUS
-A INPUT -i eth1 -j ACCEPT
-A CUS -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Jun 16 13:31:45 2006
# Generated by iptables-save v1.2.11 on Fri Jun 16 13:31:45 2006
*nat
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 16 13:31:45 2006
直接把它保存到 /etc/sysconfig/iptables 就行了。
楼主的具体实现比你的安全多了,你的策略反倒有安全隐患
呵呵....打好PATCH.弄好策略
那我该如何设置接受回应的数据包呢?
我把防火墙策略稍微改了一点
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 外网地址
但这样以来我无法接受回应的数据包 比如我ping一台机子 就不行
总不能因为这点就把整个INPUT完全开放吧?
我记得pf里面有个 keep stare参数来做状态保持的 。我不知道iptabls里面怎么做。
我查资料 iptables 这些RELATED,ESTABLISHED参数我不知道怎么使用。
ping,
可以做icmp协议的开放。
iptables -I INPUT -p icmp -j ACCEPT
如果包的状态是这些,那么就放行。
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
原来的就挺安全的,大概只有netfilter 的bug 才有可能将你攻克
2 小时玩转 iptables 讲义(PPT + ISO + 录音)
http://www.chinaunix.net/jh/4/722462.html