在Linux系统安全架构设计中,防火墙规则作为第一道防线至关重要。本文分享一个基于iptables的多层次防护机制配置案例。
核心架构思路: 采用三层防护模型——网络层过滤、服务层控制、应用层监控。首先通过iptables建立基础访问控制,然后结合fail2ban进行恶意IP自动封禁。
具体配置步骤:
- 基础规则设置(/etc/iptables/rules.v4):
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# 允许loopback接口
-A INPUT -i lo -j ACCEPT
# 允许已建立连接的流量
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许SSH访问(仅限特定网段)
-A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
# 默认拒绝所有其他流量
COMMIT
- 防火墙策略验证:
# 应用规则并检查
iptables-restore < /etc/iptables/rules.v4
iptables -L -n -v
- 结合fail2ban自动防护:
[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
此方案有效控制了未经授权的访问,同时保持了系统的可管理性。
讨论