保护自己的VPS

利用iptables设置了一套简单的防火墙。

学习资料

建立规则
和上篇一样,我把这个过程写成了Bash脚本文件,代码如下:
(我的代码重度参考了文章Linux上iptables防火墙的基本应用教程)

!/bin/bash

清除已有iptables规则

iptables -F
iptables -X
iptables -Z

开放本机向外的所有访问

iptables -A OUTPUT -j ACCEPT

允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -i lo -j ACCEPT

允许已建立的或相关连的通行

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

开放ssh端口

echo Input Server SSH port
read ServerSSHport
iptables -A INPUT -p tcp –dport $ServerSSHport -j ACCEPT

开放ShadowSocks Server端口

echo Input ShadowSocks Server port
read ShadowSocksServerPort
iptables -A INPUT -p tcp –dport $ShadowSocksServerPort -j ACCEPT

参照上几条规则,开放自己需要的服务端口,比如HTTP、FTP、VPN等

不允许其它机器ping通本机

iptables -A INPUT -p icmp -j REJECT

最后两条,禁止所有未允许的访问,禁止所有未允许的转发

iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
查看状态
运行脚本后,防火墙规则就建立好了。执行代码iptables -L -n可以查看当前规则。

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:SSH_PORT
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:SS_PORT
REJECT icmp — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
自动保存
在Ubuntu环境下,iptables代理规则是没法自动保存。网上资料推荐的方法是:修改脚本执行权限让网卡关闭是保存iptables规则,启动时加载iptables规则。DigitalOcean则很用心的写了一篇iptables设置教程推荐了iptables-persistentdeb包。在安装deb包时会自动检测当前的iptables规则,并生成文件在下次重启时自动加载。

sudo apt-get install iptables-persistent

上一篇
下一篇