centos生产环境网站服务器iptables这样设置有没有问题?
注:
1、不需要dns服务,对需要请求的域名都已经加入hosts本地解析;
2、web为http,不使用https;
3、禁ping。
---------------------------------------------------------------------
以下为设置的iptables规则:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
#允许ip.taobao.com
-A OUTPUT -p tcp -d 139.196.2.126 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
COMMIT
有没有什么问题或者需要优化的地方,尤其是安全方面。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P INPUT DROP
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -s 127.0.0.0/8 -m state --state NEW -j DROP
iptables -A INPUT -d 127.0.0.0/8 -m state --state NEW -j DROP
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -d 139.196.2.126 -j ACCEPT
不是很清楚你taobao那个是什么意思,否则还可以限制下,其实OUTPUT可以完全放开的,因为一般主动出去的话就是CDN或者什么oauth之类的