고쳐 쓰다

고쳐 쓰다

다음과 같이 방화벽을 비활성화합니다.

#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

고쳐 쓰다

또한 방화벽을 활성화했습니다.

 #!/bin/bash

ssh=x.x.x.x
http='x.x.x.x y.y.y.y'

# Clear any previous rules.
iptables -F

# Default drop policy.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Allow anything over loopback.
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Drop any invalid packet that could not be identified.
iptables -A INPUT -m state --state INVALID -j DROP

# Drop invalid packets.
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,FIN FIN                  -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG                  -j DROP

# Allow TCP/UDP connections out. Keep state so conns out are allowed back in.
iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -p udp -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow only ICMP echo requests (ping) in. Limit rate in. Uncomment if needed.
iptables -A INPUT  -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-request -j ACCEPT

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source $ssh -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP

for web in $http; do
    iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source $web -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp -m multiport --dports 80,443 -j DROP
done


# or block ICMP allow only ping out
iptables -A INPUT  -p icmp -m state --state NEW -j DROP
iptables -A INPUT  -p icmp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT

x.x.x.x그래서 SSH를 통해 나에게 연결할 수 있기를 원합니다 . 또한 다음 IP가 내 포트를 볼 수 있기를 원합니다 80,443.

x.x.x.x
y.y.y.y

어떻게 바꿀 수 있나요?

답변1

내 생각엔 당신의 규칙이 잘못된 순서인 것 같아요. iptables에서는-A 추가체인 앞에 삽입하는 대신 체인에 장착하십시오. 일반적으로 당신은 ...

iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT

그런 다음

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

순서를 변경하는 대신 Rewrite it을 사용하여 -I INPUT 1각 규칙이 이전 규칙 앞에, 즉 맨 위에 삽입되도록 할 수 있습니다. 하지만 이 경우 tail ping/icmp 규칙을 이동해야 합니다.

이제 질문으로 돌아갑니다.

iptables -N SSH_CHECK
iptables -N HTTP_CHECK

iptables -A INPUT -p tcp --dport 22 -j SSH_CHECK
iptables -A INPUT -p tcp --dport 80 -j HTTP_CHECK
iptables -A INPUT -p tcp --dport 443 -j HTTP_CHECK

iptables -A SSH_CHECK -s x.x.x.x -j ACCEPT -m comment --comment "allow joe to ssh from his IP"
iptables -A HTTP_CHECK -s y.y.y.y -j ACCEPT -m comment --comment "allow mary to visit my HTTP/S server"

기본 삭제 정책은 정규화되지 않은 IP를 처리합니다.

관련 정보