我正在部署一些VPS,当然,安全是一个大问题。 我读了IPtables白名单是保护你的机器的最好方法。 所以我build立了以下的方法:
echo "Flushing rules" iptables -F echo "Allow localhost interface" iptables -A INPUT -i lo -j ACCEPT echo "Allow local network traffic" iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT echo "Allow my dear friend 1" iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT echo "Allow my dear friend 2" iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT echo "Allow already established connections" iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo "Set default policies" iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT 这个设置有多安全? 一个潜在的黑客以什么方式破坏我的防火墙(当然提供黑客在我的本地局域网之外)? 谢谢!
当您将您的默认策略设置为DROP和ACCEPT只有您需要,这显然比默认情况下允许所有内容更安全,并select性地DROP不需要的stream量types。
这至less可以帮助您避免远程访问服务(从机器外部或您的局域网)。
当您将较less的服务暴露给外部世界时,您的系统更安全。
你的设置看起来不错。 您应该查看iptables-persistent ,以便在VPS重新引导后自动启动防火墙。 它工作得很好(这只是一个服务,在启动时间开始,并修改防火墙与保存的规则集)。