服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
1. UOS支持的防火墙
iptables ufw firewalld Netfilter区别?
iptables ufw firewall 都是前端管理,Netfilter才是内核。
统信的UOS服务器操作系统是基于Debian开发的,因此和Debian和Ubuntu很多命令都是相同的。在Debian和Ubuntu上面可以使用的防火墙在UOS也是可以正常使用的。
默认情况下,Debian使用iptables,Ubuntu有iptables,也使用简单的ufw,在CentOS7 之前使用的是iptables,CentOS 7开始使用firewall,Centos 7前可以使用iptables命令也可以直接编辑文件/etc/sysconfig/iptables,在firewall一般都是使用命令。在Debian和UOS是使用iptables命令,由于不是直接编辑配置文件,需要对iptables命令比较熟悉,再就是对重启生效需要编辑文件设置。ufw也可以在UOS使用,由于是简易的命令,在本文主要讨论怎么使用iptables来设置防火墙功能。
2. 防火墙设置
UOS防火墙设置步骤:
检查iptables有没有安装如果之前有使用CentOS经验使用service iptables status 是检查不出来的,在CentOS中iptables是以服务形式,这里iptables只是配置的前端的命令,也不能使用yum list查看。而是使用apt list|grep iptables 看到已经安装。表示已经正常安装,如果没有安装可以使用apt install iptables 或者apt-get install iptables,如果想要使用ufw安装apt install ufw,如果希望使用firewall,也可以安装后使用。
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
清空原有规则iptables -L 可以查看现有生效的规则
iptables -P INPUT ACCEPT 清空规则前放开INPUT 否则清空以后可能导致无法远程连接
#清空配置
iptables -F【清空规则】
iptables -X 【删除自建链】
iptables -Z 【重置过滤包数据】
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
新建规则配置文件之一种方式,编辑/etc/iptables.sh然后赋予执行权限chmod +x /etc/iptables.sh。执行以后规则就生效了,如果需要修改规则每次都可以修改此文件。
第二种方式配置文件/etc/iptables(需要使用/ *** in/iptables-restore 导入规则,可以配置重启时就执行该文件)
#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
导入规则iptables-save >/etc/iptables 【保存规则】
/ *** in/iptables-restore </etc/iptables 【导入规则】
设置重启生效脚本1.)将iptables.sh脚本放到init.d中每次都重启【需要保障iptables脚本一致都是最新的规则,如果是后续临时修改的规则可能不在其中】
2.)编辑/etc/network/if-pre-up.d/iptables,重启会自动生效。要保障/etc/iptables中规则一致是最新的,每次修改规则可以编辑/etc/iptables 如果是使用iptables命令新增,需要增加iptables-save >/etc/iptables 保存。
#!/bin/sh
/ *** in/iptables-restore < /etc/iptables
3. 防火墙脚本
编辑如下脚本【之一次执行】,后续编辑/etc/iptables,使用/ *** in/iptables-restore < /etc/iptables重新导入,或者直接iptables命令新增,iptables-save>/etc/iptables 保存,防止机器重启无效
#!/bin/sh
#防火墙脚本
echo “#!/bin/sh
/ *** in/iptables-restore < /etc/iptables” >/etc/network/if-pre-up.d/iptables
echo “#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT” > /etc/iptables.sh
chmod +x /etc/iptables.sh
chmod +x /etc/network/if-pre-up.d/iptables
/etc/iptables.sh
iptables-save > /etc/iptables
/ *** in/iptables-restore < /etc/iptables
4. 关闭防火墙(清空所有规则,删除脚本,关闭重启)
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
rm /etc/iptables*
rm /etc/network/if-pre-up.d/iptables
5. 配置黑白名单
#黑白名单
####当只有部分人可以访问使用白名单,当只有部分人不能访问使用黑名单
##设置链名
iptables -N whitelist
iptables -N blacklist
##设置自定义链规则
iptables -A whitelist -s xxxx ACCEPT
iptables -A blacklist -s xxxx DROP
##设置INPUT规则
iptables -A INPUT -p tcp –dport 22 -j whitelist
iptables -A INPUT -p tcp –dport 22 -j blacklist
#删除规则
iptables -D INPUT 数字(iptables -L INPUT –line-numbers 查看对应链的规则序号)
iptables -D INPUT -p tcp –dport 22 -j whitelist (也可以使用设置规则时相同的命令把A改成D)
#删除自定义链
iptables -X 链名(注意内置链不可删除)
iptables -Z 置零
iptables -F 清空规则
“服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)” 的相关文章
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
俄罗斯面临 IT 危机 距离数据存储空间耗尽只剩下两个月
在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒...
3 月份近 90% 的网络攻击是针对俄罗斯和乌克兰的
我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。 3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络...
Google:2021 年 Play Store 禁止 19 万恶意账户 删除 120 万个恶意 APP
隐私和安全成为了 Play Store 的更高优选项。Google 近期封杀第三方通话录音应用之外,还引入了“data safety”(数据安全)部分,要求开发人员提供更多关于他们收集的任何用户数据及其背后目的的信息。现在,Google 公开了 2021 年关于 Play Store 安全的统计数据...
Okta 结束 Lapsus$ 黑客事件调查:攻击持续25分钟 仅两个客户受到影响
在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbur...
盗版有风险:谨防 BitRAT 恶意软件伪装成 Windows 10 激活工具传播
近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。...
评论列表
发表评论
