|
|
#!/bin/sh
# 这是一个现成的单网卡纯服务器型iptables脚本,本脚本同时具备防止ssh恶意登陆及部份防止ddos攻击的功能
/sbin/iptables -F
/sbin/iptables -P INPUT DROP
# /sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -j swatch_rejects
/sbin/iptables -A INPUT -j RH-Firewall-1-INPUT
/sbin/iptables -A RH-Firewall-1-INPUT -i lo -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A RH-Firewall-1-INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
/sbin/iptables -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-port-unreachable
#这里我有一个小小的问题想请教各位:
如上所示,我将系统默认的INPUT规则改成了DROP,因为是单网卡纯服务器,所以这里没有nat,rout等,
我想问的是:
如果我将FORWARD的默认规则也改用DROP,会不会有什么问题,从安全的角度来看,有没有必要?
谢谢高手分析。 |
|
IP卡
狗仔卡
发表于 2006-6-14 15:47:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主