标签:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 | #允许本地回环接口(即运行本机访问本机)iptables -A INPUT -i lo -j ACCEPT# 允许已建立的或相关连的通行iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT#允许所有本机向外的访问iptables -A OUTPUT -j ACCEPT#ping使用的端口iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT#允许FTP服务的21和20端口iptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT#80端口不用说了吧,服务器网站访问端口iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT#######iptables -A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT#######iptables -A INPUT -p tcp -m tcp --dport 11212 -j ACCEPTiptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited#53端口是DNS相关,TCP和UDP都要配置iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPTiptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT#减少不安全的端口连接iptables -A OUTPUT -p tcp --sport 31337 -j DROPiptables -A OUTPUT -p tcp --dport 31337 -j DROP#丢弃坏的TCP包iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP#处理IP碎片数量,防止攻击,允许每秒100个iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT#VPN-PPTPiptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPTiptables -A INPUT -p gre -j ACCEPT#ss5iptables -A INPUT -p tcp -m tcp --dport 1080 -j ACCEPTiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD DROP/etc/rc.d/init.d/iptables saveservice iptables restart#ping使用的端口-A OUTPUT -p icmp -j ACCEPT-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT-A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT#允许服务器SSH到其他机器(使用外部端口就使用--dport)-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT#允许服务器自己的SSH(自已为源输出就使用--sport)-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT#访问外部网站80端口(使用外部端口就使用--dport)-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT#如果服务器需要访问外部网站,那么OUTPUT也需要配置53端口(使用外部端口就使用--dport)-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT#如果有访问外部邮箱,那么打开邮箱相关端口(使用外部端口就使用--dport)-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT#服务器网站访问端口(自已为源输出就使用--sport)-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT-A OUTPUT -p tcp -m tcp --sport 3306 -j ACCEPT-A OUTPUT -p tcp -m tcp --sport 11211 -j ACCEPT-A OUTPUT -p tcp -m tcp --sport 11212 -j ACCEPT#屏蔽单个IP的命令是iptables -I INPUT -s 123.45.6.7 -j DROP#封整个段即从123.0.0.1到123.255.255.254的命令iptables -I INPUT -s 123.0.0.0/8 -j DROP#封IP段即从123.45.0.1到123.45.255.254的命令iptables -I INPUT -s 124.45.0.0/16 -j DROP#封IP段即从123.45.6.1到123.45.6.254的命令是iptables -I INPUT -s 123.45.6.0/24 -j DROP#指令I是insert指令 但是该指令会insert在正确位置并不像A指令看你自己的排序位置,因此用屏蔽因为必须在一开始就要加载屏蔽IP,所以必须使用I命令加载,然后注意执行/etc/rc.d/init.d/iptables save进行保存后重启服务即可配置导入导出iptables-save > /opt/iptables.txt###备份所有表的规则iptables-restore < /opt/iptables.txt###备份所有表的规则 |
标签:
原文地址:http://www.cnblogs.com/yzpopulation/p/4915018.html
