服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
1. UOS支持的防火墙
iptables ufw firewalld Netfilter区别?
iptables ufw firewall 都是前端管理,Netfilter才是内核。
统信的UOS服务器操作系统是基于Debian开发的,因此和Debian和Ubuntu很多命令都是相同的。在Debian和Ubuntu上面可以使用的防火墙在UOS也是可以正常使用的。
默认情况下,Debian使用iptables,Ubuntu有iptables,也使用简单的ufw,在CentOS7 之前使用的是iptables,CentOS 7开始使用firewall,Centos 7前可以使用iptables命令也可以直接编辑文件/etc/sysconfig/iptables,在firewall一般都是使用命令。在Debian和UOS是使用iptables命令,由于不是直接编辑配置文件,需要对iptables命令比较熟悉,再就是对重启生效需要编辑文件设置。ufw也可以在UOS使用,由于是简易的命令,在本文主要讨论怎么使用iptables来设置防火墙功能。
2. 防火墙设置
UOS防火墙设置步骤:
检查iptables有没有安装如果之前有使用CentOS经验使用service iptables status 是检查不出来的,在CentOS中iptables是以服务形式,这里iptables只是配置的前端的命令,也不能使用yum list查看。而是使用apt list|grep iptables 看到已经安装。表示已经正常安装,如果没有安装可以使用apt install iptables 或者apt-get install iptables,如果想要使用ufw安装apt install ufw,如果希望使用firewall,也可以安装后使用。
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
清空原有规则iptables -L 可以查看现有生效的规则
iptables -P INPUT ACCEPT 清空规则前放开INPUT 否则清空以后可能导致无法远程连接
#清空配置
iptables -F【清空规则】
iptables -X 【删除自建链】
iptables -Z 【重置过滤包数据】
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
新建规则配置文件之一种方式,编辑/etc/iptables.sh然后赋予执行权限chmod +x /etc/iptables.sh。执行以后规则就生效了,如果需要修改规则每次都可以修改此文件。
第二种方式配置文件/etc/iptables(需要使用/ *** in/iptables-restore 导入规则,可以配置重启时就执行该文件)
#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
导入规则iptables-save >/etc/iptables 【保存规则】
/ *** in/iptables-restore </etc/iptables 【导入规则】
设置重启生效脚本1.)将iptables.sh脚本放到init.d中每次都重启【需要保障iptables脚本一致都是最新的规则,如果是后续临时修改的规则可能不在其中】
2.)编辑/etc/network/if-pre-up.d/iptables,重启会自动生效。要保障/etc/iptables中规则一致是最新的,每次修改规则可以编辑/etc/iptables 如果是使用iptables命令新增,需要增加iptables-save >/etc/iptables 保存。
#!/bin/sh
/ *** in/iptables-restore < /etc/iptables
3. 防火墙脚本
编辑如下脚本【之一次执行】,后续编辑/etc/iptables,使用/ *** in/iptables-restore < /etc/iptables重新导入,或者直接iptables命令新增,iptables-save>/etc/iptables 保存,防止机器重启无效
#!/bin/sh
#防火墙脚本
echo “#!/bin/sh
/ *** in/iptables-restore < /etc/iptables” >/etc/network/if-pre-up.d/iptables
echo “#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT” > /etc/iptables.sh
chmod +x /etc/iptables.sh
chmod +x /etc/network/if-pre-up.d/iptables
/etc/iptables.sh
iptables-save > /etc/iptables
/ *** in/iptables-restore < /etc/iptables
4. 关闭防火墙(清空所有规则,删除脚本,关闭重启)
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
rm /etc/iptables*
rm /etc/network/if-pre-up.d/iptables
5. 配置黑白名单
#黑白名单
####当只有部分人可以访问使用白名单,当只有部分人不能访问使用黑名单
##设置链名
iptables -N whitelist
iptables -N blacklist
##设置自定义链规则
iptables -A whitelist -s xxxx ACCEPT
iptables -A blacklist -s xxxx DROP
##设置INPUT规则
iptables -A INPUT -p tcp –dport 22 -j whitelist
iptables -A INPUT -p tcp –dport 22 -j blacklist
#删除规则
iptables -D INPUT 数字(iptables -L INPUT –line-numbers 查看对应链的规则序号)
iptables -D INPUT -p tcp –dport 22 -j whitelist (也可以使用设置规则时相同的命令把A改成D)
#删除自定义链
iptables -X 链名(注意内置链不可删除)
iptables -Z 置零
iptables -F 清空规则
“服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)” 的相关文章
英伟达泄露数据正被用来制作伪装成驱动的病毒
由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike...
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
关键 SonicOS 漏洞影响 SonicWall 防火墙设备
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
僵尸网络 Kraken 轻松骗过 Windows Defender 并窃取加密货币钱包数据
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这...
针对 Okta 认证公司的黑客攻击使成众多大中型企业处于高度警戒状态
网络安全公司F-Secure正在对其企业安全业务进行品牌重塑,新名称为WithSecure,并设计了时髦的新标志。WithSecure以前被称为F-Secure Business,它将专注于企业安全产品和解决方案,而消费者安全产品和服务仍以现有的F-Secure名称提供。 据路透社报道,被全球数千家...
攻击者劫持英国 NHS 电子邮件帐户以窃取 Microsoft 登录信息
据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后,这些攻击者于去年10月开始使用它们,并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的...
评论列表
发表评论
