标签:iptables
配置iptables 主机防火墙
iptables -F #清空规则
iptables -X #清空用户自定义链
iptables -Z #清空计数器
第一步 配置允许SSH登录端口进入
iptables -nL
iptables -A INPUT -p tcp -s 10.0.0.0/24 -j ACCEPT #这两条任意一条就行了。
iptables -A INPUT -p tcp --dport 52113 -j ACCEPT
第二步 设置允许本机回环端口的通信规则
iptables -A INPUT -i lo -j ACCEPT #打开本机回环接口允许通过
iptables -A OUTPUT -o lo -j ACCEPT
第三步 设置默认的防火墙禁止和允许的规则(主机防火墙的本质:默认规则是拒绝的。)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT (OUTPUT设置为ACCEPT,是安全易用方便的一个平衡)
iptables -nL
第四步 对外提供服务
开启信任的IP网段。
iptables -A INPUT -s 124.54.43.21/27 -p all -j ACCEPT #允许办公室出口IP连接服务器(细化到掩码最小)
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT #要有多个机房,多个机房的内网要互通
iptables -A INPUT -s 202.83.21.0/24 -p all -j ACCEPT #多个机房的外网网段允许访问
允许业务端口对外访问
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许80口对外访问/开放80口允许访问
iptables -A INPUT -P tcp --dport 443 -j ACCEPT #
允许ICMP类型协议通过
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT #允许所有人PING
iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT #只允许某些源地址PING
允许关联的包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -nL
第五步 保存
/etc/init.d/iptables save
iptables-save> /etc/sysconfig/iptables #两种方式
nmap 192.10.8.13 -p 1-65535 #扫描
本文出自 “青春邓勇” 博客,请务必保留此出处http://dengyong.blog.51cto.com/8409869/1853324
标签:iptables
原文地址:http://dengyong.blog.51cto.com/8409869/1853324
