iptables规则是空的。而且他们的selinux是关闭了的,这等同于把系统裸奔(总比windows裸奔好)。
使用方法:
1、用root用户登录后
vi /etc/sysconfig/iptables
2、删掉原来的所有规则,粘贴上以下内容
# Generated by iptables-save v1.4.7 on Mon Mar 26 09:52:21 2012
*filter:INPUT ACCEPT [0:0]:FORWARD DROP [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT# Completed 3、按一下Esc后,保存退出
:wq
4、重启iptables
service iptables start
关于iptables的几点参数说明:
-A 选项来附加(新增)规则到某条链
-i 选项(interface「界面」之意)来指定那些符合或来自 lo(localhost、127.0.0.1)界面的封包
-j(jump「跳至」)符合这条规则的目标动作
-m 选项来装入一个模块(state)。state 模块能够查看一个封包并判断它的状态是 NEW、ESTABLISHED 抑或 RELATED。NEW 指进入的封包属于不是由主机初始化的新增连接。ESTABLISHED 及 RELATED 指进入的封包隶属于一条现存的连接,或者与现存的连接有关系。
Asdfghjkl123
vi /etc/sysconfig/iptables
增加:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10622 -j ACCEPT
注掉22端口
service iptables restart
vi /etc/ssh/sshd_config
增加Port 10622
重启sshd: service sshd restart
/etc/sysconfig/iptables 模板
*filter
:INPUT ACCEPT [0:0]:FORWARD DROP [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 10622 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMIT
/etc/fail2ban/jail.conf中增加以下配置:
[ssh-iptables]enabled = truefilter = sshdaction = iptables[name=SSH, port=ssh, protocol=tcp]#action = iptables[name=SSH, port=10622, protocol=tcp]
sendmail-whois[name=SSH, dest=hujha@chanjet.com, sender=fail2ban@email.com]# Debian 系的发行版#logpath =/var/log/auth.log# Red Hat 系的发行版logpath =/var/log/secure# ssh 服务的最大尝试次数maxretry =3findtime =60bantime =600
测试:
fail2ban-client status ssh-iptables
fail2ban-client ping