VPS的防火墙怎么配置为好?iptables

系统安装、升级讨论
版面规则
我们都知道新人的确很菜,也喜欢抱怨,并且带有浓厚的Windows习惯,但既然在这里询问,我们就应该有责任帮助他们解决问题,而不是直接泼冷水、简单的否定或发表对解决问题没有任何帮助的帖子。乐于分享,以人为本,这正是Ubuntu的精神所在。
回复
epia
帖子: 34
注册时间: 2011-02-09 20:21

VPS的防火墙怎么配置为好?iptables

#1

帖子 epia » 2015-05-11 11:44

在网上找了很久,各种配置都有,但都没啥注释,看得有点晕,新手不太明白啊,譬如下面这个,只能看懂一部分:

代码: 全选

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
就看懂
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
这几行,好像是允许环回,22、80、443端口入站,别的就看不太明白了……后面几条好像是防ddos的?开头几条又是什么意思呢?

关键是,网上找了好多介绍,好些互相之间还有冲突,譬如开头几条,有些INPUT是drop,有些确实ACCEPT,诸如此类,还有些是-p tcp -m state,但有些却是-p tcp -m tcp,有些干脆没有-m参数,看得有些晕……

谢谢各位
页首
头像
oneleaf
论坛管理员
帖子: 10454
注册时间: 2005-03-27 0:06
系统: Ubuntu 12.04

Re: VPS的防火墙怎么配置为好?iptables

#2

帖子 oneleaf » 2015-05-11 14:06

需要先了解iptable的拦截原理,然后就简单了。
页首
poloshiao
论坛版主
帖子: 18279
注册时间: 2009-08-04 16:33

Re: VPS的防火墙怎么配置为好?iptables

#3

帖子 poloshiao » 2015-05-11 16:30

https://help.ubuntu.com/community/IptablesHowTo
页首
epia
帖子: 34
注册时间: 2011-02-09 20:21

Re: VPS的防火墙怎么配置为好?iptables

#4

帖子 epia » 2015-05-11 16:56

谢谢楼上两位,正在看相关教程

不过,不知道我一楼发的规则有没有明显的漏洞或者说错误?
页首
回复

回到 “系统安装和升级”