开发者社区> 问答> 正文

帮忙看下iptables设置隐患?

screenshot
如图所示,是在外网的服务器iptables配置: iptables -nL 的结果。
这个配置会有什么样的隐患,请各位运维大神帮忙分析一下。

我是个运维小白+创业者。最近被攻击的厉害。

展开
收起
a123456678 2016-06-28 13:57:24 2331 0
1 条回答
写回答
取消 提交回答
  • Chain INPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:4743
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:4500
    ACCEPT     udp  --  [ip addr]        0.0.0.0/0            udp dpts:1812:1813
    这是我的iptables信息

    首先,我将所有入站的数据全部DROP。为什么不是REJECT?因为REJECT的数据包回向对方返还REJECT的信息,而DROP仅仅在服务器内部把数据包抛弃,而不返还。这样可以起到混淆和阻挡一小部分攻击。

    1.state RELATED,ESTABLISHED //允许已连接数据通行,一般是服务器内部发起的连接或以开放的端口的连接才能通过
    2.icmp //端口的开放与否因人而异,以前我喜欢DROP掉,可是有时候需要测试网络,所以开放了。
    3.内部io,这必须开放。
    4,5,6,7,8.其中80,443是网站服务用到的,50和4500是ipdec vpn服务用到的。
    9.是radius服务用的1812和1813端口。
    你OUTPUT的默认规则是ACCEPT,你再添加80端口的ACCEPT规则,这是多余的。

    2019-07-17 19:48:13
    赞同 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载