我在我的专用机器上托pipe了几个网站。 操作系统是CentOS 5.6。 到现在为止,我一直在closuresiptables,因为它阻止了所有的networkingstream量。 但是,我看到这不好,我应该启用防火墙。 不幸的是,我不知道怎么做,所以我在这里问我的服务器应该是什么好的规则。 我当然有很多交通进出。
我在服务器上运行的一些东西 – DirectAdmin的 – Apache – PHP的 – MySQL的 – FTP – DNS – 其他directadmin工具(如邮件等)。
这几乎是DirectAdmin 1.39.1的预装版本。
您需要决定要打开哪些端口,然后允许访问该端口的相应协议。 我会给你一个例子,让你开始:
要打开SSH(你想要做的第一件事,那就是不要locking自己),你可以做
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j ACCEPT
在这个例子中,-s表示源代码。 您可以将0.0.0.0/0更改为您希望允许连接发起的地址或子网。 这通常是一个好主意,而不是在HTTP / HTTPSstream量上,因为你希望每个人都能够到达那里。
之后,您需要更改默认传入策略,以删除任何与规则不匹配的内容。
iptables -A INPUT -j DROP
如果你不熟悉什么端口上运行的服务,你应该看看这个维基百科的文章。
你应该阅读iptables手册页并熟悉命令格式,以便生成一个体面的规则表。
对于初学者,您应该执行conntrack状态匹配,以确保所有stream量是有效连接stream的一部分,并放弃其他一切。
要真正写出好的iptables规则,你必须首先了解iptables可以让你做什么; 你要用的主要是-m conntrack,但是这取决于你想如何locking下来的东西……它确实让你做任何事情; 从限速ICMP到阻止快速连接尝试。
由于您的服务器上已经安装了Directadmin,因此您可以安装CSF(ConfigServer Security&Firewall),其中将包含Directadmin插件,以便您可以从pipe理面板内部pipe理防火墙。 如果您不熟悉iptable防火墙以及一系列高级选项,它便于使用。