linux防火牆iptables--推薦配置

推薦配置

iptables -F #清空規則
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允許數據包響應
iptables -A INPUT -i lo -j ACCEPT #允許本地環回接口
iptables -I INPUT 3 -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #允許22號端口的訪問
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited #INPUT上拒絕其他包
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited #FORWARD上拒絕其他包
service iptables save #保存 否則重啓策略失效

策略調整

iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT #端口 插入到IINPUT的第三條
iptables -I INPUT 3 -s 192.168.1.0/32 -p tcp --dport 80 -j ACCEPT#應用IP+端口
iptables -I INPUT 3 -s 192.168.1.0/32 -p tcp -m multiport --dports 22:25,80 -j ACCEPT #IP + 多端口
service iptables save #一定要記得保存啊

策略管理

service iptables status/start #服務啓動
chkconfig iptables on/off #開機啓動
iptables --list/version #查看列表
lsof -i:3306 #查看端口是否開放
iptables -nvL --line-numbers #顯示規則列表
iptables -D INPUT 3 #刪除規則3
iptables-save > iptables.cfg #保存規則至指定文件
iptables-restore < iptables.cfg #從指定文件重載規則

系統默認規則

# Generated by iptables-save v1.4.7 on Thu Jun  6 16:03:44 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:2048]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Thu Jun  6 16:03:44 2019