查看伺服器的 iptables 規則

tag-icon tag-icon iptables
查看伺服器的 iptables 規則

這台機器運作的是 Ubuntu 14.04b,幾乎沒有設定。
我認為至少帶一個防火牆是個好主意,iptables 是我的選擇。

恕我直言,最好在介面預啟動時透過 iptables 產生的檔案載入規則,/etc/network/interfaces使用類似的東西
pre-up iptables-restore < /etc/iptables.rules
(使用iptables-saveat post-down,以防我必須更改某些內容)。

然而,有兩件事讓我心煩意亂:

  • 首先,我不確定我的文件能否正確完成工作(見下文)。
  • 其次,上次我使用 iptables 時,IPv6 根本就不是一個東西!我發現有一個 ip6tables,但我無法確定是否可以對兩者使用相同的規則文件...那太好了,但遺憾的是,這聽起來太容易是真的:/

以下是我的規則文件,有人可以指出我任何奇怪的、不合邏輯的或不需要的嗎?

正如你所看到的,盒子裡有一個 Apache網路伺服器(有域名,所以域名系統需要通過),aMySQL伺服器(具有遠端存取功能),SFTP伺服器(看來 FTP 現在已經是一個相當過時的東西了),將充當郵件伺服器(後綴,可能,也許還有主管的郵件列表,如果它仍然存在)和必須絕對可訪問透過SSH(我無法承受失去對這台伺服器的 SSH 存取的損失:它是一個專用的東西,位於 400 公里外的某個地方,沒有控制台)

# Generated by iptables-save v1.4.21 on Wed Sep 28 15:08:21 2016
*raw
:PREROUTING ACCEPT [30261051:8737714396]
:OUTPUT ACCEPT [28933128:15186346449]
COMMIT
# Completed on Wed Sep 28 15:08:21 2016
# Generated by iptables-save v1.4.21 on Wed Sep 28 15:08:21 2016
*nat
:PREROUTING ACCEPT [8040256:1000464908]
:INPUT ACCEPT [8040256:1000464908]
:OUTPUT ACCEPT [357964:47801350]
:POSTROUTING ACCEPT [357964:47801350]
COMMIT
# Completed on Wed Sep 28 15:08:21 2016
# Generated by iptables-save v1.4.21 on Wed Sep 28 15:08:21 2016
*mangle
:PREROUTING ACCEPT [30261051:8737714396]
:INPUT ACCEPT [30261051:8737714396]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28933128:15186346449]
:POSTROUTING ACCEPT [28933128:15186346449]
COMMIT
# Completed on Wed Sep 28 15:08:21 2016
# Generated by iptables-save v1.4.21 on Wed Sep 28 15:08:21 2016
*filter
:INPUT ACCEPT [10752:1386943]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18529:5801236]
# Do not kill established connections
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#INPUT rules
#SSH & SFTP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTP server
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTPS
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#Echo
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#DNS
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
#SMTP
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
#SQL in
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
#IMAP
-A INPUT -i eth0 -p tcp -m tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
#IMAP sur SSL
-A INPUT -i eth0 -p tcp -m tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
#POP3
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
#POP3 sur SSL
-A INPUT -i eth0 -p tcp -m tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
#Limit HTTP flood
-A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 100 -j ACCEPT
#Loopback
-A INPUT -i lo -j ACCEPT

#OUTPUTS
#SSH & SFTP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#HTTP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#HTTPS
-A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
#echo
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
#DNS
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
#SMTP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
#SQL out
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
#IMAP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
#IMAP sur SSL
-A OUTPUT -o eth0 -p tcp -m tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
#POP3
-A OUTPUT -o eth0 -p tcp -m tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
#POP3 sur SSL
-A OUTPUT -o eth0 -p tcp -m tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
#Doublons by legacy script.
#Remove?
-A OUTPUT -p tcp -m tcp --dport 53
-A OUTPUT -p udp -m udp --dport 53
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
#Loopback
-A OUTPUT -o lo -j ACCEPT

#End of config. Make it happen!
COMMIT
# Completed on Wed Sep 28 15:08:21 2016

謝謝你的幫忙!

答案1

由於您的iptables保存檔案沒有引用任何 IP,因此您ip6tables也應該可以使用它。您最好的選擇是在 2 分鐘內(或您認為合適的任何時間)發出at重置防火牆規則的作業:

# echo "service iptables stop" | at now + 2 minutes

然後套用 IPv4 和 IPv6 檔案中的 iptables 規則:

# iptables-restore < iptables-save-file
# ip6tables-restore < iptables-save-file

如果此時無法訪問,請等待 2 分鐘,讓at作業停用防火牆,然後開始手動設定規則集。如果它們有效,請運行service iptables saveservice ip6tables save享受您的新防火牆。

我還應該注意到,您現有的文件實際上從未拒絕或拒絕或丟棄任何流量 - 所有鏈上的預設策略是ACCEPT,並且沒有帶有DROPREJECT目標的追蹤規則,因此您擁有看似相當無效的防火牆配置。

相關內容