生產環境下的iptables設置,這是我自己的一點總結,淺顯之處望大家指出批評,共同學習。
我的局域網爲192.168.1.0/24。
1.先清空所有規則
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
設置默認規則前開發ssh(6123)端口
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport 6123 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sdport 6123 -j ACCEPT
設置默認規則
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
打開回環設備
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
開發ftp服務器(21)
iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
開發WWW服務器(80,443)
iptables -A INPUT -p tcp -m multiport --dports 80, 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 80, 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
允許DNS出站連接
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
如果服務器還要開發其他服務,可以相應添加。
最後保存設置:iptables-save > /etc/sysconfig/iptables 或者 service iptables save。
從默認配置文件裏還原iptables配置:iptables-restore
在linux中配置防火牆時,一定要注意iptables中規則的順序,哪個在前,哪個在後。
根據以後的學習,此文會實時更新。望大家多給提點意見,共同進步!