美文网首页0基础自学linux
0基础自学linux运维-1.8-iptables禁止服务器主动

0基础自学linux运维-1.8-iptables禁止服务器主动

作者: hualinux | 来源:发表于2019-07-02 00:05 被阅读1次

    之前服务器放在网宿托管机房,遇到过几次服务器中招向外发包的情况,网宿为了保证自己的业务会自动把外网断了,让你通过内网处理好服务器再开放。

    很多人的思路是把服务器中毒的木马找出来,然后删除,再让网宿开通外网。

    如果被网宿断的的业务是很重要的,越快恢复越好,你这样慢慢找木马病毒,一般情况也得花20分钟这样吧。你这样玩黄瓜菜都凉了!

    比较好的处理方式是:先把主动向外发包的全部不让通过,向服务器请求的放过,保证业务正常运行!再慢慢找木马病毒

    实验

    外网:eth0 192.168.8.165

    内网:eth1 192.168.3.165

    iptables禁止服务器主动向外发包,但外面可以访问该服务器的任何资源

    iptables -P INPUT ACCEPT

    iptables -F

    iptables -X

    iptables -Z

    iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

    iptables -A OUTPUT -s 192.168.3.165 -j ACCEPT

    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -m state --state NEW -j DROP

    iptables -P OUTPUT DROP

    iptables -n -L

    或者:放行非第一个包,其它源地址为外网的禁止(意思就是外网状态为NEW和INVALID的包不让通过)

    iptables -n -L

    iptables -P INPUT ACCEPT

    iptables -P OUTPUT ACCEPT

    iptables -F

    iptables -X

    iptables -Z

    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -s 192.168.8.165 -p all -j DROP

    iptables -n -L

    #加多-v会看到更多的信息

    #iptables -n -L -v

    #只允许127.0.1和192.168.3.165

    iptables -A OUTPUT -s 192.168.8.165  -j DROP

    实验效果:

    #在此服务器上通过内网telnet问外一台服务器,发现OK

    telnet 192.168.3.75 3306

    #在此服务器上通过外网telnet另一台服务器,相当于主动发包,发现失败。验证生效了

    telnet 192.168.8.75 3306

    相关文章

      网友评论

        本文标题:0基础自学linux运维-1.8-iptables禁止服务器主动

        本文链接:https://www.haomeiwen.com/subject/jhpocctx.html