在保护服务器安全时,限制 SSH 连接是一项重要措施。通过 iptables,你可以有效地控制哪些 IP 地址可以访问你的服务器,从而减少潜在的安全威胁。本文将介绍如何使用 iptables 禁止所有类型的连接,并允许特定来源 IP 的连接,提供实战案例和相关的 Shell 脚本。
一、默认拒绝所有连接
首先,我们需要设置 iptables 使其默认拒绝所有的输入和转发连接,只允许输出连接。这样可以确保没有任何未经许可的连接能够进入服务器。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
二、允许特定来源 IP 的连接
假设我们只允许 IP 地址为 192.168.1.100 的设备访问服务器。我们需要添加一条规则来允许这个 IP 地址的所有连接。
iptables -A INPUT -s 192.168.1.100 -j ACCEPT
如果你只想允许该 IP 地址通过 SSH 连接(通常是端口 22),可以添加以下规则:
sh
复制代码
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT
三、允许本地回环接口连接
本地回环接口(localhost)是服务器自身的网络接口,通常用于本地通信。为了确保服务器的正常运作,必须允许本地回环接口的连接。
iptables -A INPUT -i lo -j ACCEPT
四、允许已有连接和相关连接
为了确保现有的连接和相关连接不被中断,我们需要添加以下规则:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
五、保存 iptables 规则
设置完这些规则后,需要保存它们以确保在服务器重启后依然有效。
CentOS / RHEL
service iptables save
Ubuntu / Debian
iptables-save > /etc/iptables/rules.v4
六、实战案例
假设你有一台服务器,其 IP 地址为 203.0.113.1。你希望只允许 IP 地址 192.168.1.100 的计算机通过 SSH 连接到这台服务器,并且设置好 iptables 规则使其生效。以下是完整的 Shell 脚本示例:
#!/bin/bash
# 默认拒绝所有连接
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许特定来源 IP 的连接
ALLOWED_IP="192.168.1.100"
iptables -A INPUT -s $ALLOWED_IP -j ACCEPT
# 允许本地回环接口连接
iptables -A INPUT -i lo -j ACCEPT
# 允许已有连接和相关连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# 保存规则
if [ -f /etc/redhat-release ]; then
service iptables save
elif [ -f /etc/debian_version ]; then
iptables-save > /etc/iptables/rules.v4
else
echo "Unknown distribution. Please save the iptables rules manually."
fi
echo "iptables rules have been configured and saved."
将上述脚本保存为 setup_iptables.sh,并赋予执行权限:
chmod +x setup_iptables.sh
然后运行脚本:
./setup_iptables.sh
七、总结
通过本文介绍的方法,你可以有效地使用 iptables 限制 SSH 连接,只允许特定的 IP 地址访问你的服务器。此举能够显著提高服务器的安全性,防止未经授权的访问。希望本文能够帮助你更好地保护你的服务器安全。