使用Linux防火墙(如iptables或firewalld)阻止恶意攻击是一种有效的安全措施。以下是一些基本步骤和策略,帮助你配置防火墙以增强系统安全性:
更新iptables规则:
sudo apt update && sudo apt upgrade iptables。默认策略:
sudo iptables -P INPUT DROPsudo iptables -P FORWARD DROPsudo iptables -P OUTPUT ACCEPT允许必要的流量:
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPTsudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPTsudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT限制连接数:
sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 5 -j DROP保存规则:
iptables-persistent:sudo apt install iptables-persistentsudo netfilter-persistent savesudo netfilter-persistent reload安装firewalld:
sudo apt update && sudo apt install firewalld启动并启用firewalld:
sudo systemctl start firewalldsudo systemctl enable firewalld配置默认区域:
sudo firewall-cmd --set-default-zone=dropsudo firewall-cmd --permanent --zone=trusted --add-interface=losudo firewall-cmd --permanent --zone=trusted --add-source=127.0.0.1sudo firewall-cmd --reload允许SSH连接:
sudo firewall-cmd --permanent --zone=trusted --add-service=sshsudo firewall-cmd --reload允许HTTP/HTTPS流量:
sudo firewall-cmd --permanent --zone=trusted --add-service=httpsudo firewall-cmd --permanent --zone=trusted --add-service=httpssudo firewall-cmd --reload限制连接数:
通过这些步骤,你可以显著提高Linux系统的安全性,有效阻止恶意攻击。