VPS的防火墙怎么配置为好？iptables

epia · **发表于 :** 2015-05-11 11:44

在网上找了很久，各种配置都有，但都没啥注释，看得有点晕，新手不太明白啊，譬如下面这个，只能看懂一部分：

代码:

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT

就看懂

引用:

-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

这几行，好像是允许环回，22、80、443端口入站，别的就看不太明白了……后面几条好像是防ddos的？开头几条又是什么意思呢？

关键是，网上找了好多介绍，好些互相之间还有冲突，譬如开头几条，有些INPUT是drop，有些确实ACCEPT，诸如此类，还有些是-p tcp -m state,但有些却是-p tcp -m tcp,有些干脆没有-m参数，看得有些晕……

谢谢各位

oneleaf · **发表于 :** 2015-05-11 14:06

需要先了解iptable的拦截原理，然后就简单了。

poloshiao · **发表于 :** 2015-05-11 16:30

https://help.ubuntu.com/community/IptablesHowTo

epia · **发表于 :** 2015-05-11 16:56

谢谢楼上两位，正在看相关教程

不过，不知道我一楼发的规则有没有明显的漏洞或者说错误？

VPS的防火墙怎么配置为好？iptables

在线用户