网络服务器的良好 iptables 启动规则？

您的 IPTables 规则似乎最适合您的服务器。但我会建议几个可能的改变：

• 除非您需要允许来自整个 Internet 的 SSH、MySQL 和 FTP 访问，否则使用“--source”选项来限制从某些批准的 IP 地址访问这些端口会更加安全。例如，要只允许来自 IP 地址 71.82.93.101 的 SSH 访问，您可以将第 5 条规则更改为“iptables -A INPUT -p tcp --dport ssh --source 71.82.93.101 -i eth0 -j ACCEPT”。您可能需要为要允许的每个单独的 IP 地址添加单独的规则，请参阅此问题以获取更多信息：iptables multiple source IPs。

• 除非这台机器正在运行 DNS 服务器，否则您可能希望阻止对“域”(53) 端口的访问。为此，只需删除“iptables -A INPUT -p tcp --dport domain -i eth0 -j ACCEPT”行。（顺便说一句，这也应该回答您的最后一个问题。）但是，如果您实际上正在运行 DNS 服务器，请保留此规则。

• 如果您需要允许远程 MySQL 客户端通过网络访问，您需要添加行 'iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT' 以打开对标准 MySQL 端口的外部访问. 但是除非真的有必要，否则不要这样做——如果您只需要本地 MySQL 访问（例如，对于在 Apache 下运行的 PHP 应用程序），则不需要提供远程 MySQL 访问。除非您想冒被黑客入侵的风险，否则如果您确实打开了网络的 3306 端口，请确保您需要所有 MySQL 用户帐户的强密码，并且您的 MySQL 服务器包是最新的。

• 您的其中一条评论（“允许 ssh、dns、ldap、ftp 和 Web 服务”）提到了 LDAP 服务，但您的配置中没有这样的规则。当我复制示例配置并对其进行修改时，这种情况经常发生。它不会影响功能，但我会修复评论，因为误导性评论可能会间接导致您或将来的其他管理员感到困惑。

以我的经验，很难想出一套完美的 IPTables 规则，但我认为你绝对是在正确的轨道上。另外，祝你好运，学习更多关于 IPTables 的知识——这些规则起初看起来很复杂，但对于任何 Linux 系统管理员来说，这都是一项非常有用的技能。

当然也要限制您的出站流量。

我见过很多情况，其中 PHP 漏洞利用导致有人使用“curl”或“wget”从其他地方获取恶意代码，然后在您的服务器上执行它以加入僵尸网络。

如果您不希望 Apache（例如）需要与其他网站本身通信，请限制流量并为自己省点麻烦！

这些规则可以通过“iptables-restore”导入：

*filter
:INPUT DROP [20:2036]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [93:16260]
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -m comment --comment "allow ICMP: echo-reply"
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -m comment --comment "allow ICMP: echo-request"
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -m comment --comment "allow ICMP: destination-unreachable"
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -m comment --comment "allow ICMP: source-quench"
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT  -m comment --comment "allow ICMP: time-exceeded"
-A INPUT -i lo -j ACCEPT -m comment --comment "allow input from the loop-back adapter"
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -m comment --comment "allow SSH: ssh"
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT -m comment --comment "allow DNS: domain"
-A INPUT -i eth0 -p tcp -m udp --dport 53 -j ACCEPT -m comment --comment "allow DNS: domain"
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -m comment --comment "allow FTP: ftp"
-A INPUT -i eth0 -p udp -m udp --dport 21 -j ACCEPT -m comment --comment "allow FTP: ftp"
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT -m comment --comment "allow FTP: ftp-data"
-A INPUT -i eth0 -p udp -m udp --dport 20 -j ACCEPT -m comment --comment "allow FTP: ftp-data"
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT -m comment --comment "allow MariaDB/MySQL: mysql"
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "allow HTTP (apache/nxing/lighttpd)"
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "allow HTTPS (apache/nxing/lighttpd)"
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  -m comment --comment "allow already established connections"
COMMIT

仅作记录……如果不使用上述 iptables-restore，也应设置这些默认策略：

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

为什么你允许ftp和dns？您的服务器是否提供这些服务？不应该真正使用 FTP，除了一些非常特定的用例，请改用 SFTP（不是 FTPS）。另外，为什么用符号名指定所有其他端口，用数字 80 指定 http？你是从别的地方复制过来的吗？没有复制和建议可以弥补缺乏理解。确保您了解 TCP、IP、防火墙以及您将要提供的服务的协议。