0%

简单粗暴Centos7网络加固(一)

最近作为跳板机的VPS总被境外IP骚扰,一会儿德国,一会荷兰,一会俄罗斯扫啊扫的看着闹心。跳板机安装了Centos7操作系统使用frp对多个内网中设备进行管理。

最先想到了使用iptables只允许国内IP地址访问,方法如下:

到:https://www.ipdeny.com/ipblocks/ 下载国家的IP地址范围。

1
wget -O ~/cn.txt http://www.ipdeny.com/ipblocks/data/countries/cn.zone

停用系统自带firewalld服务

1
2
systemctl disable firewalld
systemctl stop firewalld

安装并且创建iptables规则:

iptables -A**参数为总是在最后一行添加;**-I **参数为总是在第一行添加。** **匹配规则为从上到下,命中就会停止。**所以将允许的国内IP地址范围放在上边;把拒绝所有地址到1000-10000号端口关闭,当然你也可以关闭所有访问。
1
2
3
yum install iptables iptables-service
for ip in $(cat ~/cn.txt); do iptables -A INPUT -s $ip -j ACCEPT; done
iptables -A INPUT -p tcp --dport 1000:10000 -j DROP

保存iptables配置并且设置为开机自动启动:

保存后命令的配置会放在/etc/sysconfig/iptables

1
2
3
service iptables save
systemctl enable iptables
systemctl restart iptables

可以通过iptables -L -n查看配置,相信会吓你一跳。

另外两个常用命令:使用netstat -nautp可以查看当前所有的会话;netstat -nlutp可以查看本地所有监听端口和对应进程。

简单粗暴Centos7网络加固(二)

简单粗暴Centos7网络加固(三)