求web服务器的iptables规则

luza

再加一点防护

#!/bin/bash
/sbin/modprobe ip_conntrac
/sbin/modprobe ip_conntrack_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward


/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
#开放80
/sbin/iptables -A INPUT -p tcp --syn -m state --state NEW --dports 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#内网代理
/sbin/iptables -A INPUT -p tcp -d192.168.1.2 -m multiport --dports 21,22,53,80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s  192.168.1.0/24 -o eth0  -j SNAT --to 220.135.22.*

#控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
#控制单个IP在一定的时间（比如60秒）内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT


还没有测试，请大家看看。

[ 本帖最后由 luza 于 2009-10-23 10:01 编辑 ]

chenyx

/sbin/iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80 -j ACCEPT

这行-m multiport 去掉

/sbin/iptables -t nat -A POSTROUTING -s  192.168.1.2/32 -o eth0  -j SNAT --to 220.135.22.*

把192.168.1.2/32改成192.168.1.0/24

[ 本帖最后由 chenyx 于 2009-10-23 09:55 编辑 ]

luza

感谢上面各位好心人给出的指导，我现在把上面的总结一下，各位再帮忙看看。
需求：外网卡：eth0 :220.135.22.* 内网卡：192.168.1.2
要求 1.服务器对外只提供HTTP服务，即只开放80端口，其他一律不接受。
     2.内网可以通过服务器上网，并且通过内网连接服务器进行FTP,SSH操作。

脚步如下：


#!/bin/bash
/sbin/modprobe ip_conntrac
/sbin/modprobe ip_conntrack_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward


/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.1.2 -m multiport --dports 21,22,53,80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s  192.168.1.2/32 -o eth0  -j SNAT --to 220.135.22.*

请大家看看，作为一个www服务器安全系数够了吗？还需要加什么吗？

wzypunk

运行那个脚本类似service iptables start

gamester88

iptables -A INPUT -p tcp -s 192.168.1.2 -m multiport --dports 21,22,53,80 -j ACCEPT
iptables -t nat -A POSTROUTING -s  内网网段 -o 外网网卡号  -j SNAT --to 220.135.22.*

renxiao2003

厉害啊。我发现有的人一不会了就重做系统。最好的办法是中道问题解决它。

luza

用了2楼给的规则可以了，现在又有点需求，不知道怎么搞？

我的公网IP是220.135.22.* ，我想通过服务器的另一块网卡192.168.1.2实现iptables代理上网，即：

外网只能访问80端口，内网的用户可以进行ftp,ssh，即开放给192.168.1.2   20，21，22端口，并实现上互联网的功能，应该怎么配置？

现有的规则为：

#!/bin/bash
/sbin/modprobe ip_conntrac
/sbin/modprobe ip_conntrack_ftp

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


要怎么加规则才能满足需求？

bottlelee

我用 ufw...基于 iptables 的

ufw default deny //* 先设置默认全部拒绝
ufw allow http //* 等同于 ufw allow 80/tcp
ufw allow 22/tcp //* 等同于 ufw allow ssh
ufw enable //* 启用

最后把你的 ufw 服务跑起来. 如果规则修改过了, 就运行

ufw reload

jonelaw

原帖由 luza 于 2009-10-21 11:11 发表
这个IPTABLES不需要启动iptables服务器吗？
我关闭了iptables服务（/etc/init.d/iptables stop)，规则依然起作用，为什么？

以前我也碰到过，后来觉得有点难就没有再进行下去了。

jonelaw

顶起 关注！