常用服務iptables設置
#查看已經存在的條目
Java代碼
- sudo iptables -L -n --line-number
- sudo iptables -L -n --line-number
#也可以簡單的
Java代碼
- sudo iptables -L -n
- sudo iptables -L -n
#禁用全部
Java代碼
- sudo iptables -P INPUT DROP
- sudo iptables -P OUTPUT DROP
- sudo iptables -P FORWARD DROP
- sudo iptables -P INPUT DROP
- sudo iptables -P OUTPUT DROP
- sudo iptables -P FORWARD DROP
#環回口全部允許
Java代碼
- sudo iptables -A INPUT -i lo -j ACCEPT
- sudo iptables -A OUTPUT -o lo -j ACCEPT
- sudo iptables -A INPUT -i lo -j ACCEPT
- sudo iptables -A OUTPUT -o lo -j ACCEPT
#允許已建立連接的包直接通過
Java代碼
- sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
- sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
#ssh配置
Java代碼
- sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
#為了安全可以綁定本機地址,網卡
Java代碼
- sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT
- sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT
- sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT
- sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT
#更安全的配置是過濾發出信息包。
Java代碼
- sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#過濾進入數據包(-p tcp ! --syn)
Java代碼
- iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT
- iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT
#mysql配置
Java代碼
- sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
#拒絕個別ip
Java代碼
- sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP
#封ddos用REJECT,可以降低對方發包速度
- sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP
#封ddos用REJECT,可以降低對方發包速度
#DNS設置
Java代碼
- sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
- sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT
- sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
- sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
- sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
- sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT
- sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
- sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
#p#
#red hat的NFS設置
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/nfs |grep $#
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4002
MOUNTD_PORT=4003
STATD_PORT=4004
#STATD_OUTGOING_PORT=2020
——————————————————————————
6)iptables配置文件的修改:/etc/sysconfig/iptables
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/iptables
……前面省略
-A RH-Firewall-1-INPUT -p tcp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 111 -j ACCEPT
……后面省略
#ubuntu的nfs,暫時不知道怎么個別服務怎么指定端口,所以只好開2049和32768-65535端口
#FTP設置
#vsftpd先設定數據傳輸端口。
Java代碼
- sudo vi /etc/vsftpd.conf
- sudo vi /etc/vsftpd.conf
#最后加入
Java代碼
- pasv_min_port = 30000
- pasv_min_port = 31000
- pasv_min_port = 30000
- pasv_min_port = 31000
#pureftpd設置數據傳輸端口
Java代碼
- PassivePortRange 30000 31000
- PassivePortRange 30000 31000
#iptables設置
Java代碼
- sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
# Enable active ftp transfers
- sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
# Enable passive ftp transfers
- sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
# Enable active ftp transfers
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
# Enable passive ftp transfers
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT
#ubuntu保存與開機加載
Java代碼 sudo cp iptables.up.rules /etc/
- sudo vi /etc/network/interfaces
- sudo iptables-save > iptables.up.rules
- sudo cp iptables.up.rules /etc/
- sudo vi /etc/network/interfaces
#在interfaces末尾加入
Java代碼
- pre-up iptables-restore < /etc/iptables.up.rules
- pre-up iptables-restore < /etc/iptables.up.rules
#也可以設置網卡斷開的rules。
Java代碼
- post-down iptables-restore < /etc/iptables.down.rules
- post-down iptables-restore < /etc/iptables.down.rules
#CentOS保存
Java代碼
service iptables save
通過文章的描寫和代碼的分析,我們可以清楚的知道常用服務iptables設置情況,以便以后會用到!
【編輯推薦】
- Iptables性能測試
- iptables nat實驗
- iptables 簡單學習筆記
- 在Red Hat上安裝iptables
- 搭建基于netfilter/iptables的實驗環境
- 用IPtables限制BT、電驢等網絡流量
- 如何使用IPTables實現字符串模式匹配
- iptables相關腳本
