Ubuntu iptables如何保护服务器安全_产品动态_资讯中心

发布时间:2026-04-26 23:51:10

阅读量:1

在Ubuntu系统中，使用iptables可以有效地保护服务器的安全。以下是一些基本的iptables规则和策略，可以帮助你增强服务器的安全性：

1. 清除默认规则

首先，清除所有现有的iptables规则，以确保从一个干净的状态开始：

sudo iptables -F
sudo iptables -X

2. 设置默认策略

设置默认的策略为DROP，这意味着任何未明确允许的流量都将被丢弃：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

3. 允许必要的端口和服务

根据你的服务器用途，允许必要的端口和服务。例如，如果你需要SSH访问，允许TCP端口22：

sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

4. 允许本地回环接口的流量

确保本地回环接口的流量被允许：

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

5. 允许已建立的连接

允许已建立的连接和相关的数据包通过：

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

6. 允许DNS查询

允许DNS查询，以便服务器可以解析域名：

sudo iptables -A INPUT -p udp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT

7. 允许HTTP/HTTPS流量

如果你需要提供Web服务，允许HTTP（端口80）和HTTPS（端口443）流量：

sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

8. 限制SSH访问

为了防止暴力破解SSH登录，可以限制SSH访问的来源IP地址，并使用fail2ban等工具来进一步保护：

sudo iptables -A INPUT -p tcp --dport 22 -s <允许的IP地址> -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

9. 保存规则

保存iptables规则，以便在系统重启后仍然有效：

sudo iptables-save > /etc/iptables/rules.v4

10. 使用`ufw`（可选）

如果你更喜欢使用ufw（Uncomplicated Firewall），可以安装并配置它来管理iptables规则：

sudo apt-get install ufw
sudo ufw enable
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw status verbose

通过以上步骤，你可以使用iptables来增强Ubuntu服务器的安全性。请根据你的具体需求调整规则，并定期审查和更新这些规则以确保最佳的安全性。

以上就是关于“Ubuntu iptables如何保护服务器安全”的相关介绍，筋斗云是国内较早的云主机应用的服务商，拥有10余年行业经验，提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩，主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复；电子化备案，提交快速，专业团队7×24小时服务支持！

简单好用、高性价比云服务器租用链接：https://www.jindouyun.cn/product/cvm