服务器如果做到绝对安全,没有人给你保证,但是做到相对安全的就是把服务器禁止上网,但有的时候做为linux的运维人员来说,不上网又需要做其它工作,因此下面的脚本就有自己的用武之地了。
禁止本机访问外网,开放访问部分IP或者网站的功能。
#!/bin/bash
iptables -F
iptables -X
#shell执行
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#开启SSH 22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
#ngnix服务器默认端口,网站可访问
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#允许loopback,不然会导致DNS无法正常关闭等问题
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
#丢弃坏的TCP包
iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
#处理IP碎片数量,防止攻击,允许每秒100个
iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
#开启对指定网站的访问
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state –state NEW,ESTABLISHED,RELATED -p tcp -d www.github.com -j ACCEPT
#重启使生效
/etc/rc.d/init.d/iptables save
service iptables restart
https://www.jianshu.com/p/a1d65de8d697