我正在设置一个专用服务器用于游戏服务器托管,该服务器还将托管其他几个服务器应用程序(例如 Web 服务器)。专用服务器共有四个 IP 地址,假设它使用以下 IP 地址:
192.0.2.0;192.0.2.1;192.0.2.2;192.0.2.3
为了安全起见,我希望每个 IP 专用于某项服务/服务组(并且出站端口完全开放),例如:
192.0.2.0(游戏服务器);192.0.2.1(Teamspeak 服务器);192.0.2.2(网络服务器);192.0.2.3(系统 [SSH 等])
事件的顺序应该是所有端口均被阻止,则某些端口将被解除阻塞。我看过这里,我有一个粗略排序的命令列表,将其转换为 bash 脚本并设置为在启动时执行:
iptables -A OUTPUT -o -j DROP
iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT
iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -p tcp -s 192.0.2.3 --dport 80 -j ACCEPT
iptables -I OUTPUT -p tcp -s 192.0.2.3 --dport 443 -j ACCEPT
iptables -I INPUT -p tcp -s 192.0.2.3 --dport 22 -j ACCEPT
iptables -I INPUT -p tcp -s 192.0.2.0 --dport 25565 -j ACCEPT
iptables -I INPUT -p tcp -s 192.0.2.0 --dport 25566 -j ACCEPT
iptables -I INPUT -p tcp -s 192.0.2.2 --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -s 192.0.2.1 --dport 9987 -j ACCEPT
两个命令允许所有出站流量来自IPTables 规则允许所有出站本地发起的流量吗?
由于我过去使用 iptables 的经验,我不愿意应用这些规则,因为我不确定它们是否正确,或者我是否以正确的方式处理这个问题。上述 iptables 规则是否会按预期工作?如果没有,我该如何纠正它以使其按预期工作?
服务器运行的是 Ubuntu 14.04 64 位。我确实有提供商提供的硬件防火墙,但它不允许我阻止/允许服务器的特定 IP 端口(因此在这种情况下我无法使用它)。
答案1
从你的帖子来看,我的假设是:
原则上,所有 IP 地址都可以打开出站连接,默认情况下,没有 IP 地址可以访问入站。所有 IP 地址都绑定到单个物理网络接口。
然后我将按如下方式配置它:
#Block all incoming connections
iptables -P INPUT REJECT
#Allow all outgoing connections
iptables -P OUTPUT ACCEPT
#Allow all on local loopback
iptables -A INPUT -i lo -j ACCEPT
#Allow established connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Game server on TCP/25565 and TCP/25566
iptables -A INPUT -p tcp -d 192.0.2.0 --dport 25565 -j ACCEPT
iptables -A INPUT -p tcp -d 192.0.2.0 --dport 25566 -j ACCEPT
#Teamspeak on TCP/9987 (No UDP?)
iptables -A INPUT -p tcp -d 192.0.2.1 --dport 9987 -j ACCEPT
#Web server
iptables -A INPUT -p tcp -d 192.0.2.2 --dport 80 -j ACCEPT
#System services
iptables -A INPUT -p tcp -d 192.0.2.3 --dport 22 -j ACCEPT
除此之外,为什么不使用像 Shorewall 这样的工具来管理 iptables 规则呢?