常用服務iptables設置(1)
#查看已經存在的條目
Java代碼
sudo iptables -L -n --line-number
sudo iptables -L -n --line-number
#也可以簡單的
sudo iptables -L -n
sudo iptables -L -n
#禁用全部
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
#環回口全部允許
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
#允許已建立連接的包直接通過
sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
#ssh配置
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
#爲了安全可以綁定本機地址,網卡
sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT
sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT
#更安全的配置是過濾發出信息包。
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#過濾進入數據包(-p tcp ! --syn)
iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT
#mysql配置
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT
#拒絕個別ip
sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP
#封ddos用REJECT,可以降低對方發包速度
sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP
#封ddos用REJECT,可以降低對方發包速度
#DNS設置
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
#red hat的NFS設置
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/nfs |grep $#
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4002
MOUNTD_PORT=4003
STATD_PORT=4004
#STATD_OUTGOING_PORT=2020
——————————————————————————
6)iptables配置文件的修改:/etc/sysconfig/iptables
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/iptables
……前面省略
-A RH-Firewall-1-INPUT -p tcp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 111 -j ACCEPT
……後面省略
#ubuntu的nfs,暫時不知道怎麼個別服務怎麼指定端口,所以只好開2049和32768-65535端口
#FTP設置
#vsftpd先設定數據傳輸端口。
sudo vi /etc/vsftpd.conf
sudo vi /etc/vsftpd.conf
#最後加入
pasv_min_port = 30000
pasv_min_port = 31000
pasv_min_port = 30000
pasv_min_port = 31000
#pureftpd設置數據傳輸端口
PassivePortRange 30000 31000
PassivePortRange 30000 31000
#iptables設置
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
# Enable active ftp transfers
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
# Enable passive ftp transfers
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
# Enable active ftp transfers
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
# Enable passive ftp transfers
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT
#ubuntu保存與開機加載
sudo cp iptables.up.rules /etc/
sudo vi /etc/network/interfaces
sudo iptables-save > iptables.up.rules
sudo cp iptables.up.rules /etc/
sudo vi /etc/network/interfaces
#在interfaces末尾加入
pre-up iptables-restore < /etc/iptables.up.rules
#也可以設置網卡斷開的rules。
post-down iptables-restore < /etc/iptables.down.rules
#CentOS保存
service iptables save