Linux服务端安全加固-iptables简易版

最近因为部署到公网的服务器被集团扫出高危漏洞搞的手忙脚乱，搞定之后决定记录一下。后续更新。

如果没有安装iptables：

#安装iptables

yum install iptables-services

#设置开机启动

systemctl enable iptables
systemctl start iptables

#保存当前手动配置
service iptables save

#显示每条规则链的编号

• iptables -nL --line-number
#删除FORWARD链的第2条规则，编号由上一条得知。如果删除的是nat表中的链，记得带上-t nat
• iptables -D FORWARD 2

#查看全部前后路由

iptables -t nat -nL --line-number
有时旧的路由留在表中导致会新添加的路由无效，需要删除
iptables -t nat -D POSTROUTING 1

 

也可以直接编辑iptables文件，上文中的save命令就是将当前iptables策略保存到该文件

编辑iptables文件

sudo vi /etc/sysconfig/iptables

下文是iptables文件的样例

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#允许已建立的连接和icmp报文
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT

#允许本地访问

-A INPUT -i lo -j ACCEPT

#允许特定ip访问

-A INPUT -s 192.168.0.42 -p tcp --dport 11892 -j ACCEPT
-A INPUT -s 192.168.0.41/32 -j ACCEPT
-A INPUT -s 192.168.0.11/24 -j ACCEPT

#允许所有ip访问5900-6900端口段

-A INPUT -p tcp -m state --state NEW -m tcp --dport 5900:6900 -j ACCEPT

#丢弃其他请求
-A INPUT -p tcp -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

修改完毕 保存，然后重启iptables

service iptables restart

然后记得查看一下iptables的状态

service iptables status

确保当前状态是active，因为有的时候可能出现其他问题导致iptables启动失败，此时服务器处于无防护状态，如果被扫到高危漏洞的话可要遭重了。