linux vps服务器常用服务iptables策略

vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一。linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉。
目前这台vps上开启的服务有ssh,ftp,pptpd,shadowsocks等。
防火墙策略是默认策略是DROP的。
防火墙策略配置:

[root@vultr scripts]# cat iptables.sh
#/bin/bash
#date:2017-04-10
#author:xjh
#调试追踪
#set -x
#清除规则
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#设定默认规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#开启环回网络
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#开启DNS解析
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#开启shadowsocks代理端口
iptables -A INPUT -p tcp -m multiport --dports 8080,8081,8082 -m state --state NEW -j ACCEPT
#OUTPUT链默认DROP,shadowsocks服务随机端口去连外网,没好的办法暂时就开目的地址80,443
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
#开启ftp服务端口端口(写ftp策略iptables需要加模块)
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT
#开启ssh服务端口并限制登录频率
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
#开启端口转发
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 10.0.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 10.0.1.0/24 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to-source 45.76.210.222
#兼容windows系统pptp客户端MTU值
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -s 10.0.1.0/24 -j TCPMSS --set-mss 1400
#保存配置
/etc/init.d/iptables save

不断的挖坑填坑,似乎又找到了一点点感觉,后续会再改改,完善完善。

(0)

相关推荐

  • VMware 克隆多台Linux机器并配置IP的方法

    VMware 克隆多台Linux机器并配置IP的方法

    1.查看并分配虚拟网络 我们首先要知道 VMware 三种网络模式的区别. ①.Bridged(桥接模式):就是将主机网卡与虚拟机虚拟的网卡利用虚拟网桥进行通信.在桥接的作用下,类似于把物理主机虚拟为一个交换机,所有桥接设置的虚拟机连接到这个交换机的一个接口上,物理主机也同样插在这个交换机当中,所以所有桥接下的网卡与网卡都是交换模式的,相互可以访问而不干扰.在桥接模式下,虚拟机ip地址需要与主机在同一个网段,如果需要联网,则网关与DNS需要与主机网卡一致. ②.NAT(网络地址转换模式):主机网

  • windows及linux环境下永久修改pip镜像源的方法

    windows及linux环境下永久修改pip镜像源的方法

    一.在windows环境下修改pip镜像源的方法(以python3.5为例) (1):在windows文件管理器中,输入 %APPDATA% (2):会定位到一个新的目录下,在该目录下新建pip文件夹,然后到pip文件夹里面去新建个pip.ini文件 (3):在新建的pip.ini文件中输入以下内容,搞定 [global] timeout = 6000 index-url = http://pypi.douban.com/simple trusted-host = pypi.douban.com

  • 解决linux下zip文件解压乱码问题

    原因 由于zip格式并没有指定编码格式,Windows下生成的zip文件中的编码是GBK/GB2312等,因此,导致这些zip文件在Linux下解压时出现乱码问题,因为Linux下的默认编码是UTF8. 解决方案一 使用7z解压. 安装p7zip和convmv # fedora $ su -c 'yum install p7zip convmv' # ubuntu $ sudo apt-get install p7zip convmv 执行一下命令解压缩 # 使用7z解压缩 $ LANG=C 7

  • Centos Linux7设置静态IP的实例

    Centos Linux7设置静态IP的实例 ## 先进入配置文件的放置位置: cd /etc/sysconfig/network-scripts/ ## 查看当前网卡使用的是哪个文件 ip add ## 过滤出配置文件列表 ll | grep ifcfg ## 编辑配置文件 vi ifcfg-ens160 ## 配置文件内容 主要:BOOTPROTO   IPADDR   NETMASK   NM_CONTROLLED  ONBOOT 这几个字段,其他的不变 TYPE=Ethernet BOO

  • Linux下IP设置脚本的实例及遇到问题解决办法

    Linux下IP设置脚本的实例及遇到问题解决办法 背景 一个Java web项目有一个功能是IP修改,Linux的IP修改脚本如下: #!/bin/bash #useing parameter ip:netmask:gateway:dns1 #system version:centos6,7/redhat6,7 #read parameter ipaddr=`echo $1|cut -d ":" -f 1` netmask=`echo $1|cut -d ":" -

  • Linux 配置静态IP的方法

    Linux 配置静态IP的方法

    在新安装的Linux系统命令行下, 敲入:ifconfig,显示如下界面. 上面这张图显示网卡没有启动,那么我们敲入代码:ifup eth0启动网卡. 网卡启动后,我们可以看出,IP地址和网关等其他信息都已经出现. 但是我们需要的是静态IP,即不随着时间改变而改变的IP地址. 首先我们要知道我们的网关地址是多少. 敲入代码:route ,下图中的192.168.164.2就是我们的默认网管地址,记住这个,下面的配置需要用这个. 继续敲入代码: vi /etc/sysconfig/network-

  • linux vps服务器常用服务iptables策略

    vps服务器裸奔在公网上,总感觉有点不安全,没办法总得整点措施来加固下服务器呀,安全第一.linux系统自带防火墙必须要好好利用起来,可是我有一年多没写过防火墙策略了,该忘的都忘了,不该忘的也都忘得差不多了,看笔记,找找感觉. 目前这台vps上开启的服务有ssh,ftp,pptpd,shadowsocks等. 防火墙策略是默认策略是DROP的. 防火墙策略配置: [root@vultr scripts]# cat iptables.sh #/bin/bash #date:2017-04-10 #

  • VPS服务器常用性能测试脚本汇总

    分享一下常用的VPS服务器一键性能测试脚本,可以用来测试机器的配置和性能,测试VPS服务器的网络速度,硬盘性能等. 这里收集一些测试脚本,脚本均来自于网络,代码内有作者信息,感谢网络大神们提供这么优秀的工具. 一.SuperBench Superbench 测试VPS服务器配置信息.IO性能.到国内节点的网速 wget -qO- --no-check-certificate https://raw.githubusercontent.com/oooldking/script/master/sup

  • Linux服务器利用防火墙iptables策略进行端口跳转的方法

    两台不同服务器转发 打开端口转发的功能 首先开启IP转发功能,默认是关闭的. 临时修改: [root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward 修改过后就马上生效,但如果系统重启后则又恢复为默认值0. 永久修改: vi /etc/sysctl.conf # 找到下面的值并将0改成1 net.ipv4.ip_forward = 1 # sysctl -p(使之立即生效) 默认值0是禁止ip转发,修改为1即开启ip转发功能. 配置端口转

  • linux vps服务器进程kswapd0与events/0消耗大量CPU的问题

    linux vps服务器进程kswapd0与events/0消耗大量CPU的问题

    今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了. 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 CPU 使用.盯了有好十几分钟,主要消耗 CPU 的进程有两个,一个是 mysql,另一个是 apache.下面的图可以看到,mysql 占用了很大部分的 CPU 使用.apache 单个进程虽然占得不多,但有不少个 apache 进程同时存在,也消耗了不少 CPU 的使用. 当然,这些不足以让服务器的 CPU 直接跑满挂掉,后来发现了两个大家伙: 当 my

  • Linux VPS/服务器 网站及数据库自动本地备份并FTP上传备份脚本

    准备工作: 需要提前在VPS安装好lftp,lftp功能上比较强大,CentOS直接执行:yum install lftp,Debian执行:apt-get install lftp . 需要在VPS上创建/home/backup/ 目录,在FTP上创建backup目录. 如果VPS上数据库不多的话使用Godaddy的免费空间就可以(10GB空间,300GB流量),只要注册个域名就免费送. 下面将备份脚本进行部分注释: 复制代码 代码如下: #!/bin/bash #Funciont: Back

  • Linux VPS/服务器上轻松导入、导出MySQL数据库的几种方法

    Linux VPS/服务器上轻松导入、导出MySQL数据库的几种方法

    下面VPS侦探说一下几个解决方法: MySQL数据库导出 方法1:mysqldump命令 执行命令: /usr/local/mysql/bin/mysqldump -u 用户名 -p 数据库名 > 文件名 如果数据库用户名有密码密码,执行后会提示输入密码.如果数据库用户名没有密码,就将命令中的"-p"参数删除. 注意:推荐使用MySQL root帐号进行操作,因为有些数据库可能设置了只能对应的用户进行操作. 方法2:phpmyadmin phpmyadmin支持将数据库文件直接备

  • Linux VPS及服务器更加安全之设置Putty SSH使用密钥登录

    Linux VPS及服务器更加安全之设置Putty SSH使用密钥登录

    在上一篇的确保Linux VPS及服务器更加安全之Xshell设置密钥登录文章中已经分享到XSHELL使用密钥登陆我们的VPS服务器确保机器的安全,但是很多同学们并不是都像老左一样用XSHELL,而还是有很多使用PUTTY登陆SSH,所以重新起一篇文章单独再分享用PUTTY设置密钥登陆Linux VPS主机的方法. PS:我们如果需要使用PUTTY一定要到正规的下载站最好是官方网站下载,所谓的破解版.绿色版.中文精简版等等可能有被人植入木马,这样会影响我们的账户安全. 第一步.生成密钥 看到很多

  • 确保Linux VPS及服务器更加安全之Xshell设置密钥登录

    确保Linux VPS及服务器更加安全之Xshell设置密钥登录

    随着我们网站及项目的需要,以及VPS主机/服务器的成本不断的降低,越来越多的站长用户将会选择VPS或者服务器作为我们的建站环境,但是对于用户来说基础的操作大部分都来自网上的教程,比如用SSH软件登陆之后然后就学着教程安装面板.一键包,然后就去搭建网站.我们经常有提到对于使用VPS的时候,所有的安全都需要我们自己来承担和维护,保持一定周期的备份数据是应该的,但也需要注意以及确保账户和系统的安全. 即便我们的项目没有招惹到其他同行或者故意想来破坏的,但是全球范围之内还是有玩家用软件在扫描所有的机器,

  • 免费常用Linux VPS管理面板/一键包介绍和安装方法

    我们选择VPS.服务器主机一般会用来搭建网站使用的,既然要搭建网站那肯定需要安装网站环境.这一点与我们常用的虚拟主机不同,虚拟主机一般商家都提供cPanel或者DA面板直接添加站点建站使用,而VPS则需要我们自己安装Linux VPS管理面板(Windows系统则安装对应的)或者采用一键包编译安装. 在这篇文章中,麦子是准备收集国内.国外VPS管理面板的,如果真要每个都收集至少可以找到几十个,但是我们常用的也就这么几个.对于我们用户而言,熟悉1-2个也足以,毕竟我们是要实现环境,并不是深入研究,

  • Linux Web服务器网站故障分析常用命令

    Linux Web服务器网站故障分析,具体内容如下 系统连接状态篇: 1.查看TCP连接状态 netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn netstat -n | awk '/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}' 或 netstat -n | awk '/^tcp/ {++state[$NF]}; END {for(key in state) print key,"\t&q

随机推荐