《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —2.2.2　实际生产中的iptables脚本编写

2.2.2　实际生产中的iptables脚本编写

图2-1展示了netfilter钩子与iptables表和链的处理顺序，显示了其强大的处理功能。在实际生产中，使用比较多的是filter表，这个表用于对进入主机或者从主机发出的数据进行访问控制。在实践中，笔者建议使用iptables脚本来管理访问控制规则，而不是通过编辑和修改系统自带的/etc/sysconfig/iptables文件，这样做的好处是可以更加清晰地理解规则。

下面以代码清单2-1作为一个实际生产中的iptables脚本，讲解iptables的语法与使用的最佳实践。

代码清单2-1　实际生产中的iptables脚本

1）代码清单2-1中的规则9明确禁止了所有未被允许的网络访问。这是1.3.4节白名单机制原则的贯彻实践。

2）代码清单2-1中的规则11明确禁止了主机主动发出外部连接，这可以有效地防范类似“反弹Shell”的攻击。在很多情况下，当主机***客入侵后，其留下的后门并不以监听端口的形式接收外部连接，因为在这种情况下，监听很容易被识别出来，也很容易被外部网络设备的防火墙所截获并禁止；相反，这些后门会主动向黑客所控制的外部主机发起网络连接，把被入侵主机的Shell反弹到外部主机上，从而进行反向形式的控制。防止反弹Shell的最有效手段就是禁止本机主动向未被明确信任的外部主机发起连接。