IPTables: SSH को केवल एक्सेस करने की अनुमति दें, इसमें और कुछ नहीं

आप IPTables को कैसे कॉन्फ़िगर करते हैं ताकि यह केवल SSH को अंदर जाने दे और किसी अन्य ट्रैफ़िक को अंदर या बाहर न जाने दे ?

किसी भी सुरक्षा सावधानियों की सिफारिश कर सकते हैं?

मेरे पास एक सर्वर है जो मेरा मानना है कि GoDaddy से सफलतापूर्वक विस्थापित हो गया है और मेरा मानना है कि अब उपयोग में नहीं है।

लेकिन मैं सिर्फ इसलिए पक्का करना चाहता हूं ... आप कभी नहीं जानते। :)

ध्यान दें कि यह GoDaddy का एक आभासी समर्पित सर्वर है ... इसका मतलब है कि बैकअप और वस्तुतः कोई समर्थन नहीं है।

आपको बस INPUT और OUTPUT श्रृंखलाओं पर DROP के लिए डिफ़ॉल्ट नीति सेट करने की आवश्यकता है।

SSH को अनुमति देने के लिए, आपको निम्नलिखित कमांड चाहिए:

$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

अंतिम दो आदेश लूपबैक ट्रैफ़िक की अनुमति देते हैं क्योंकि कुछ अनुप्रयोगों द्वारा सही ढंग से कार्य करने के लिए यह आवश्यक है। आप -s source_ipविकल्प का उपयोग करके विशिष्ट आईपी से एसएसएच पहुंच को प्रतिबंधित कर सकते हैं ।

जैसा कि ऊपर दिखाया गया है, आदेशों को निष्पादित करने से आपके वर्तमान एसएसएच सत्र लटक जाएगा। ऐसा इसलिए है क्योंकि iptables कमांड तुरंत प्रभाव डालते हैं। आपको दूरस्थ रूप से निष्पादित करते समय अपनी मशीन से कनेक्ट करने की क्षमता खोने से बचने के लिए उन्हें शेल स्क्रिप्ट में निष्पादित करना होगा।

कुछ इस तरह:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT  # or iptables -P INPUT DROP

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j REJECT # or iptables -P OUTPUT DROP