Ubuntu iptables 服务器通用规则

本文将为您介绍 Ubuntu iptables 服务器通用规则，帮助您保护您的服务器不受攻击，同时确保服务器能够顺利地运行。

简介

iptables 是 Linux 系统中的一个防火墙功能。它允许您设置规则以阻止或允许网络流量。这是一个重要的安全工具，特别是在阻止入侵或黑客攻击方面。在本文中，我们将为您介绍一些 Ubuntu iptables 服务器通用规则，以帮助您加强服务器的安全性。

规则列表

以下是一些 Ubuntu iptables 服务器通用规则。

开放 SSH 端口

SSH 是一个远程连接协议，它允许用户远程登录到服务器。如果您的服务器支持 SSH，您应该确保只有被授权的用户能够使用它。以下是一个例子，其中假设 SSH 端口为 22。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许 HTTP 和 HTTPS 流量

HTTP 和 HTTPS 流量是服务器上最常见的流量。您需要确保这些流量能够正常地流入和流出您的服务器。以下是一个例子。

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

阻止 ICMP 流量

ICMP 是用于网络通信的一种协议，它可以用于 ping 测试和其他网络测量。虽然 ICMP 流量很有用，但某些攻击者也会利用它进行攻击。以下规则将阻止所有 ICMP 流量。

iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP

阻止无效的流量

有时候，攻击者会伪造网络流量，以绕过您的防火墙规则。以下规则将阻止不是您服务器所期望的数据包。

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP

以上是一些 Ubuntu iptables 服务器通用规则，您可以根据自己的需求为服务器设置更多规则。请注意，在应用某些规则之前，请确保您已经正确地设置了输入和输出规则，以确保服务器能够正常地运行。