我是一个ubuntu / iptables noob,并运行我的第一个Linode来服务一个rails应用程序。 虽然事情已经开始在一起,我对我的INPUT链,OUTPUT链……感觉相当不错。 🙂
很明显,我的规则应该反映我的个人需求,而且每个人都会有变化,但是对于一个基本的Ubuntu服务器,我应该通常意识到什么? 有出境链的最佳做法吗? 现在出站设置为接受基本的一切,但我宁愿否认和白名单的东西是必要的。
考虑到这一点,排除了基于input链可以计算出来的规则,任何人都会对ubuntu机箱上通常允许的出站规则有什么build议? (例如,包更新,时间同步等)。 我不想错过一些东西,不知不觉地阻止后台任务正常运行。
谢谢
编辑:谢谢你的回复,大家! 我的账户是全新的,不幸的是我现在还没有最低的声望来投票,但是我非常感谢你们的帮助。 我已经走了,接受了一个答案。
既然你可能不打算使用这个服务器来做任何事情,除了从/etc/apt/sources.listconfiguration好的数据库中获取数据,你应该只允许使用FQDN和端口。
我会使用conntrack和有状态的检查,而不是指定一个input,因为它更安全。 源端口设置为80的特制包将通过Jonathan Ross提到的规则。
#set policy on chains to drop iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #allows already established/related connections iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -p tcp -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -p tcp -j ACCEPT #allow incoming to www iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT #allow outgoing to my sources.list repo iptables -A OUTPUT -o eth0 -d mirrors.kernel.org -p tcp --dport 80 -j ACCEPT #add upd/123 for NTP iptables -A OUTPUT -o eth0 -d tock.usask.ca -p udp --dport 123 -j ACCEPT
当我学习IPtables时,第一条经验法则是“默认拒绝”。 这只允许通过你想要的和拒绝一切,而不是只是加强你正在使用的服务。 这对安全性有很大的影响。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 --sport 32768:61000 -j ACCEPT
input规则可能是对称的INPUT? 我的意思是交换目标和源地址,为状态规则规则添加新的状态等。
软件包下载(如前所述)通过标准的HTTP或FTP完成。 由于主动/被动FTP模式,FTP变体有点复杂。
NTP使用TCP端口123.我认为这也是值得限制你的NTP服务器的地址(如果你不使用世界范围的池)。