Debian防火墙安全策略制定

在Debian系统中，可以使用iptables或nftables来制定防火墙安全策略。以下是使用这两种工具制定防火墙安全策略的基本步骤：

使用iptables

1. 安装iptables（如果尚未安装）

   sudo apt update
   sudo apt install iptables
   

2. 查看当前的iptables规则

   sudo iptables -L -n -v
   

3. 设置默认策略

   • 设置INPUT链的默认策略为DROP（拒绝所有输入连接）

     sudo iptables -P INPUT DROP
     

   • 设置OUTPUT链的默认策略为ACCEPT（允许所有输出连接）

     sudo iptables -P OUTPUT ACCEPT
     

   • 设置FORWARD链的默认策略为DROP（拒绝所有转发连接）

     sudo iptables -P FORWARD DROP
     

4. 允许必要的连接

   • 允许SSH连接（假设SSH端口为22）

     sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
     sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
     

   • 允许HTTP和HTTPS连接（假设HTTP端口为80，HTTPS端口为443）

     sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
     sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
     sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
     sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
     

5. 保存iptables规则 Debian系统通常使用iptables-persistent来保存规则。

   sudo apt install iptables-persistent
   sudo netfilter-persistent save
   sudo netfilter-persistent reload
   

使用nftables

1. 安装nftables（如果尚未安装）

   sudo apt update
   sudo apt install nftables
   

2. 查看当前的nftables规则

   sudo nft list ruleset
   

3. 设置默认策略

   • 设置input链的默认策略为DROP（拒绝所有输入连接）

     sudo nft add rule ip filter input drop
     

   • 设置output链的默认策略为ACCEPT（允许所有输出连接）

     sudo nft add rule ip filter output accept
     

   • 设置forward链的默认策略为DROP（拒绝所有转发连接）

     sudo nft add rule ip filter forward drop
     

4. 允许必要的连接

   • 允许SSH连接（假设SSH端口为22）

     sudo nft add rule ip filter input tcp dport 22 accept
     sudo nft add rule ip filter output tcp sport 22 accept
     

   • 允许HTTP和HTTPS连接（假设HTTP端口为80，HTTPS端口为443）

     sudo nft add rule ip filter input tcp dport 80 accept
     sudo nft add rule ip filter output tcp sport 80 accept
     sudo nft add rule ip filter input tcp dport 443 accept
     sudo nft add rule ip filter output tcp sport 443 accept
     

5. 保存nftables规则

   sudo nft list ruleset > /etc/nftables.conf
   sudo systemctl enable nftables
   sudo systemctl start nftables
   

注意事项

• 在修改防火墙规则之前，确保你有备份，并且了解这些规则的影响。
• 如果你在生产环境中操作，建议先在测试环境中验证规则的正确性。
• 定期审查和更新防火墙规则，以适应新的安全需求。

通过以上步骤，你可以在Debian系统中制定基本的防火墙安全策略。根据具体需求，你可能需要添加更多的规则来保护系统免受各种网络威胁。