设置为默认拒绝,只打开自己需要的端口可以最大限度保证安全。
我的规则如下
[root@iou ~]# iptables -L --line-number -nv Chain INPUT (policy DROP 184 packets, 10691 bytes) num pkts bytes target prot opt in out source destination 1 141 17157 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:53 3 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 6 8 672 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 7 8076 9620K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 8 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
特别需要注意的一点是,端口我一开始是设置的dport,结果死活不通。改为sport才好,这个要注意一下。
先允许自己能上网,允许源端口53(dns),80(HTTP),ssh(22,注意,这里是dport),443(https),21(ftp)。其他端口随着我的服务器搭建进度再行添加。
转载于:https://blog.51cto.com/superrot/1398478