常用服務iptables設置

原創 ijqingyy 2019-02-23 13:05

   

常用服務iptables設置(1)
 
#查看已經存在的條目
 
Java代碼
 
sudo iptables -L -n --line-number
 
sudo iptables -L -n --line-number 
 
#也可以簡單的
 
sudo iptables -L -n  
 
sudo iptables -L -n 
 
#禁用全部
 
sudo iptables -P INPUT DROP  
 
sudo iptables -P OUTPUT DROP 
 
sudo iptables -P FORWARD DROP  
 
sudo iptables -P INPUT DROP  
 
sudo iptables -P OUTPUT DROP  
 
#環回口全部允許
 
sudo iptables -A INPUT -i lo -j ACCEPT  
 
sudo iptables -A OUTPUT -o lo -j ACCEPT  
 
sudo iptables -A INPUT -i lo -j ACCEPT  
 
sudo iptables -A OUTPUT -o lo -j ACCEPT  
 
#允許已建立連接的包直接通過
 
sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
#ssh配置
 
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT  
 
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT  
 
#爲了安全可以綁定本機地址,網卡
 
sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT  
 
sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT  
 
sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPT  
 
sudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT  
 
#更安全的配置是過濾發出信息包。
 
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT  
 
#過濾進入數據包(-p tcp ! --syn)
 
iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT  
 
iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT  
 
#mysql配置
 
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT  
 
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT  
 
#拒絕個別ip
 
sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP  
 
#封ddos用REJECT,可以降低對方發包速度
 
sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP  
 
#封ddos用REJECT,可以降低對方發包速度
 
#DNS設置
 
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT  
 
sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT  
 
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT  
 
sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT  
 
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT  
 
sudo iptables -A INPUT -p udp --sport 53 -j ACCEPT  
 
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT  
 
sudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT  
 
#red hat的NFS設置
 
——————————————————————————
 
[root@client53 ~]# cat /etc/sysconfig/nfs |grep $#
 
LOCKD_TCPPORT=4002
 
LOCKD_UDPPORT=4002
 
MOUNTD_PORT=4003
 
STATD_PORT=4004
 
#STATD_OUTGOING_PORT=2020
 
——————————————————————————
 
6)iptables配置文件的修改:/etc/sysconfig/iptables
 
——————————————————————————
 
[root@client53 ~]# cat /etc/sysconfig/iptables
 
……前面省略
 
-A RH-Firewall-1-INPUT -p tcp --dport 4002:4004 -j ACCEPT
 
-A RH-Firewall-1-INPUT -p udp --dport 4002:4004 -j ACCEPT
 
-A RH-Firewall-1-INPUT -p tcp --dport 2049 -j ACCEPT
 
-A RH-Firewall-1-INPUT -p udp --dport 2049 -j ACCEPT
 
-A RH-Firewall-1-INPUT -p tcp --dport 111 -j ACCEPT
 
-A RH-Firewall-1-INPUT -p udp --dport 111 -j ACCEPT
 
……後面省略
 
#ubuntu的nfs,暫時不知道怎麼個別服務怎麼指定端口,所以只好開2049和32768-65535端口
 
#FTP設置
 
#vsftpd先設定數據傳輸端口。
 
sudo vi /etc/vsftpd.conf  
 
sudo vi /etc/vsftpd.conf 
 
#最後加入
 
pasv_min_port = 30000  
 
pasv_min_port = 31000  
 
pasv_min_port = 30000  
 
pasv_min_port = 31000  
 
#pureftpd設置數據傳輸端口
 
PassivePortRange 30000 31000 
 
PassivePortRange 30000 31000 
 
#iptables設置
 
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT  
 
# Enable active ftp transfers
 
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT  
 
# Enable passive ftp transfers
 
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT  
 
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT 
 
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT  
 
 sudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT  
 
# Enable active ftp transfers
 
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
 
sudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
 
# Enable passive ftp transfers
 
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
 
sudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT
 
#ubuntu保存與開機加載
 
sudo cp iptables.up.rules /etc/
 
sudo vi /etc/network/interfaces  
 
sudo iptables-save > iptables.up.rules  
 
sudo cp iptables.up.rules /etc/ 
 
sudo vi /etc/network/interfaces  
 
#在interfaces末尾加入
 
pre-up iptables-restore < /etc/iptables.up.rules  
 
#也可以設置網卡斷開的rules。
 
post-down iptables-restore < /etc/iptables.down.rules  
 
#CentOS保存
 
service iptables save
 
 
 
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Linux基本操作命令

wbzjacky 2019-02-24 13:12:38

444句英語

wbzjacky 2019-02-24 13:12:37

真實的模擬***綜合實驗

wbzjacky 2019-02-24 13:12:37

三層交換機的HSRP、vlan、端口聚合

wbzjacky 2019-02-24 13:12:37

HSRP和二層交換機的端口聚合、vlan

wbzjacky 2019-02-24 13:12:37

路遇一個“乞討者“

楊木藝 2019-02-24 14:19:35

如果同事暗中傷害你,應該怎麼辦?

這個饅頭有餡 2019-02-24 13:59:08

職場中,抱怨越多的員工,越被領導瞧不起!

這個饅頭有餡 2019-02-24 13:59:08

老程序員被裁,應屆生卻能月薪 1.3 萬?這你能忍?

前端高達 2019-02-24 13:48:04

遇到到處蹭吃卻從不請客吃飯的主怎麼辦?

樑軍年 2019-02-24 13:26:35

高標準機房綜合配線安裝

wbzjacky 2019-02-24 13:12:38

IPsec ***實驗

wbzjacky 2019-02-24 13:12:37

網絡系統集成

wbzjacky 2019-02-24 13:12:37

CISCO路由AAA的Easy ***

wbzjacky 2019-02-24 13:12:37

CISCO訪問控制列表 企業網絡管理的必殺技

wbzjacky 2019-02-24 13:12:37