在我的第一台服务器上,我有 debian 8.8 和 iptables v1.4.21 在我的第二台服务器上,我有 debian 9.3 和 iptables v1.6.0
我有一个脚本可以更改我的第一台服务器上的 Iptables 规则。我的 iptable 配置在我的第一台服务器上运行良好,允许 SSH、丢弃所有、允许 ping、HTTP 和 HTTPS 流量、用于开发目的的 8070:9090 范围内的完整输入流量、数据库端口、环回和本地 docker0 接口的 Ip 限制。
当我只是复制/粘贴并运行此脚本时,我的新服务器会删除除当前 SSH 之外的所有连接,并且不保护我的服务器。
这是脚本
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 8070:9090 -j ACCEPT
#MONGODB
iptables -A INPUT -p tcp -i eth0 --dport 27017 -s someIp,someIp,someIp -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -I INPUT -i docker0 -j ACCEPT
我应该在脚本中更新哪些内容才能在第二台服务器上获得与第一台服务器相同的结果?
谢谢
答案1
如果是全新安装的 Debian 9,网络接口的名称不一定是eth0。 Debian 过渡到可预测的网络接口名称新安装时默认设置。
- 如果 NIC 集成在板上并且固件/BIOS 具有适当的信息,则第一个 NIC 将为
eno1。 - 如果 NIC 位于 PCIe 热插拔插槽中,则其名称将为
ens<slot ID>。 - 如果 NIC 具有 PCI 设备 ID,则将根据该 ID 构建其名称:
enpXsY如果 Z=0 或enpXsYfZZ>0,则为 PCI 设备 XX:YY.Z。请注意,lspci使用十六进制数字,但网络设备名称采用常规十进制系统。 - 否则,将使用旧的命名方案。
从 Debian 8 升级将保留旧的命名方案,如果需要,您可以切换回旧的方案。