我拥有一个运行 Debian 的 VPS,我想避免来自“外部”(通过互联网)的安全漏洞。
我想保证这些规则:
- 允许所有出站流量;
- 允许来自IP 1、2、3的HTTPS连接;
- 允许来自 IP 4 的 SSH 连接。
所以,其他任何东西都应该被阻止。iptables 够用吗?
答案1
是的,iptables 可以完成这个工作。
- 设置 OUTPUT 接受的默认策略:
iptables -P OUTOUT ACCEPT。 - 通过重复相同的规则但更改源 IP 来允许所有 IP,例如:
iptables -A INPUT -s ip1 -p tcp --dport 443 -j ACCEPT。 - 允许 SSH 端口 22
iptables -A INPUT -s ip4 -p tcp --dport 22 -j ACCEPT:。
您需要拒绝 INPUT 链的其他流量或将默认策略设置为 DROP。
不要忘记允许RELATED和ESTABLISHED流量。