我现在为我的vps设置了一些基本的iptable规则。 只是阻止一些默认端口,80,21,22,443。 我确实被强奸了很多。 我听说iptables是非常强大的,但我没有看到很多用例。
你可以给我一个(一些)规则的例子,你总是使用一个小例子为什么。
如果有任何我想要的链接,我不能在SF上find一个普遍的最佳做法。 如果这是重复的,我很抱歉,可以closures。
最重要的规则是允许静态IP或IP地址范围始终通过SSH进入的短路。
如果你需要从随机地址login,并想lockingSSH,请考虑knockd。
我个人使用Shorewall 。 这是一个很难让你的头,但一旦你得到如何工作,这是一个伟大的工具。 有很多预设的规则来阻止垃圾并启用一些日志logging。
您也可以设置您的默认链策略,以删除所有内容,只允许您需要的端口。 不要忘了,尽pipe允许ESTABLISHED和RELATEDstream量。
我通常保持SSHlocking,并允许从属于我的机器的less数IP访问。 如果你不能像这样locking它,对于蛮力的SSH攻击我使用denyhosts 。 有时你会得到误报,但是你可以把你自己的IP列入白名单,这样就不会发生。
我认为由fail2ban生成的iptables规则是无价的。
我不知道这个问题是否正在结束,但如果不是:我在我的网站上有一个页面 ,解释了我认为是一个基本的默认IPtables规则集。 (这是基于我使用的,但我认为许多其他服务器pipe理员会做一些类似的事情)