我想设置我的新服务器(位于我的局域网),以允许来自我局域网上任何其他计算机的所有传入和传出stream量,但拒绝任何来自局域网外系统的连接。 我的问题是如何设置iptables来做到这一点?
另外,我想知道这是否会影响我在该服务器上从Internet上下载文件的能力? 如果我这样设置,我仍然可以下载服务器的安全更新吗? 正如你可能已经猜到的,我对这一切都很陌生,所以请提前原谅我的无知。
谢谢,Tim
假设你的局域网是192.168.2.0/24。 跑
sudo ufw enable sudo ufw allow from 192.168.2.0/24 看来 ,默认情况下ufw允许出站,所以这不会影响您从互联网上下载文件的能力。 执行这些命令后,运行sudo iptables -L -v -n并输出结果,我会告诉你一定的。
单界面示例安装Shorewall。 这可以通过策略文件来处理。
使用IPtables始终是保护服务器的最佳方式,除此之外您还可以使用TCP包装器。 例如,为了允许/拒绝所有客户端访问ALL tcpwrappers服务:
ALL : ALL
上面的configuration/etc/hosts.deny将拒绝所有tcpwrappers服务的访问。 然而,/etc/hosts.allow中的这一行将允许无限制地访问所有的tcpwrappers服务。 为了拒绝来自IP 192.168.10.100的sshd访问,可以在/etc/hosts.deny上使用以下configuration:
sshd : 192.168.10.100
具体来说,在你的情况下,你可以修改/etc/hosts.allow:
ALL: 192.168.1.0/255.255.255.0
在这种情况下,我假设你的LANnetworking是192.168.1.0/24。 hosts.allow中的ALL允许服务器提供的所有服务。 接下来你需要修改/etc/hosts.deny:
ALL: Deny
我通常使用iptables和tcpwrappers在每台计算机上最大限度地提高安全性。
使用防火墙,linux内置了iptables:
由于它非常复杂,所以我会使用像GuardDog(KDE)这样的工具来设置它。 http://www.simonzone.com/software/guarddog/