啟用和配置 Linux 防火墻：CentOS、Ubuntu、Debian

忘記保護和配置專用服務器防火墻是一個常見的錯誤，也是一個巨大的安全漏洞。進入防火墻的配置允許您刪除連接到互聯網的不必要的軟件。這使您的服務器及其端口容易受到入侵。

本文將向您展示如何在 CentOS、Ubuntu 和 Debian?Linux 專用服務器上安裝和配置 iptables 防火墻。iptables 是一個簡單的防火墻，可以防止專用服務器常見的簡單攻擊。iptables 提供IPv4包過濾和 NAT，便于流量過濾和阻塞。

在 Linux 上安裝防火墻

幾乎每個 Linux 發行版都預裝了 iptables。您可以使用以下命令來更新或檢索包：

sudo apt-get install iptables

確定要阻止的防火墻端口

防火墻安裝的第一步是決定在您的專用服務器上打開哪些端口。這將根據您使用專用主機的目的而有所不同。例如，如果您正在運行 Web 服務器，您可能希望打開以下端口：

• 網絡：80 和 443
• SSH：通常在端口 22 上運行
• 電子郵件：110 (POP3)、143 (IMAP)、993 (IMAP SSL)、995 (POP3 SSL)。

安全提示：通過閱讀我們關于更改服務器 SSH 端口的文章，將您的 SSH 端口更改為非默認希望您的用戶僅通過 SSL 使用電子郵件？阻止防火墻中的標準 POP3 和 IMAP 端口以強制使用 SSL。

刷新默認防火墻規則

為了確保我們從一組新規則開始，運行以下命令從防火墻中刷新規則：

iptables -F

阻止常見的服務器攻擊路線

我們將在這里運行一些標準命令來阻止常見的攻擊

阻止 syn-flood 數據包：

iptables -A 輸入 -p tcp ！–syn -m state –state NEW -j DROP

阻止圣誕數據包：

iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP

阻止空包：

iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP

打開所需的端口

既然覆蓋了常見的攻擊路線，我們就可以開放我們需要的端口了。以下是一些供您使用的示例：

允許 SSH 訪問：

iptables -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT

打開 LOCALHOST 訪問：

iptables -A 輸入 -i lo -j 接受

允許網絡流量：

iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT

允許 SMTP 流量：

iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT

iptables -A INPUT -p tcp -m tcp –dport 465 -j ACCEPT

測試防火墻配置

運行以下命令以保存配置并重新啟動防火墻：

iptables -L -n

iptables-保存 |?須藤三通 /etc/sysconfig/iptables

服務 iptables 重啟