常用的安全政策
內容表格
- 1. 政策的初始規則
- 2. 限制內部網路上網
- 3. 阻擋惡意的 IP 來源
- 4. 阻擋外部網路的 Port
- 5. 限制內網存取外部位址
政策的初始規則
範例一:阻擋所有進入/外出的網路
# iptables -P INPUT DROP # iptables -P OUTPUT DROP # iptables -P FORWARD DROP # iptables -L -v -n #### you will not able to connect anywhere as all traffic is dropped ###
範例二:只阻擋進入的網路
# iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT # iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -L -v -n ### *** now ping and wget should work *** ###
限制內部網路上網
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
來源網路格式:
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)
阻擋惡意的 IP 來源
# iptables -A INPUT -s 1.2.3.4 -j DROP # iptables -A INPUT -s 192.168.0.0/24 -j DROP
阻擋外部網路的 Port
阻擋所有網路存取 80 port # iptables -A INPUT -p tcp --dport 80 -j DROP # iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP 阻擋 IP 1.2.3.4 存取 port 80 # iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP # iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
限制內網存取外部位址
限制內網存取外網 IP 75.126.153.206 # iptables -A OUTPUT -d 75.126.153.206 -j DROP 限制內網存取指定的外網網段 # iptables -A OUTPUT -d 192.168.1.0/24 -j DROP # iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
Powered by MindTouch Core