看了下secure日志和access的日志，一大半都是暴力破解和掃描，雖然哥的密碼極其復雜，不過總被這么消耗服務器資源也不是事，索性還是把ssh端口和ftp改了然后寫個iptables稍微保護一下好了。還有個東西叫Fail2Ban，可以自動檢測暴力破解，密碼錯誤超過一定次數就把對端ban掉，不過我實在是不想再開一個服務了，改端口應該問題不大...

只是最基本的配置，防御flood的懶得寫了，真有人跟我有仇要DDOS我的話那就掛了算了...

#配置，禁止進，允許出，允許回環網卡
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允許ping，不允許刪了就行
iptables -A INPUT -p icmp -j ACCEPT
#允許ssh
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#允許ftp
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#允許ftp被動接口范圍，在ftp配置文件里可以設置
iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT
#學習felix，把smtp設成本地
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT
#允許DNS
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
#允許http和https
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#允許狀態檢測，懶得解釋
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP

#保存配置
iptables-save > /etc/iptables

保存之后就行了，Debian不需要單獨把iptbles做成服務，具體如何讓iptables開機自動加載，請看文章《Debian下iptables防火墻開機自動加載實現》

我是把上面那段和下面這段都寫到sh里了，start{}和stop{}。需要修改規則的時候直接清空了重建比較好，因為規則有順序問題。

#清空配置
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT