Linux系统的服务器要怎么样来设置相关安全配置

　　iptables -A INPUT -p ALL -m state --state INVALID -j DROP

　　##limit SYN flood

　　#iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

　　#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

　　##deny all ICMP packets,eth0 is external net_eth

　　#iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p ICMP -j DROP

　　##allow loopback

　　iptables -A INPUT -i lo -p all -j ACCEPT

　　iptables -A OUTPUT -o lo -p all -j ACCEPT

　　##enable forwarding

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　< --end-- >

　　7.2 ipchains类型防火墙：

　　7.2.1 ipchains概念：

　　Ipchains 被用来安装、维护、检查Linux内核的防火墙规则。规则可以分成四类：IP input链、IP output链、IP forward链、user defined 链。

　　一个防火墙规则指定包的格式和目标。当一个包进来时, 核心使用input链来决定它的命运。 如果它通过了, 那么核心将决定包下一步该发往何处(这一步叫路由)。假如它是送往另一台机器的, 核心就运用forward链。如果不匹配，进入目标值所指定的下一条链，那有可能是一条user defined链，或者是一个特定值: ACCEPT，DENY，REJECT，MASQ，REDIRECT，RETURN。

　　ACCEPT意味着允许包通过，DENY 扔掉包就象没有受到过一样，REJECT也把包扔掉，但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者，目的地址无法到达(请注意DENY和REJECT对于ICMP包是一样的)。

　　MASQ 告诉核心伪装此包，它只对forward 链和user defined链起作用，想让它起作用, 编译核心时必需让 IP Masquerading 起作用。

　　REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 ’-j REDIRECT’ 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用，编译内核时，必须让CONFIG_IP_TRANSPARENT_PROXY起作用。

　　最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。

　　任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了，包将通过当前链的下一个规则。

　　7.2.2 ipchains实例：

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!