当前位置: 爱符号 - 所有分类 - 操作系统 - Linux - CentOS - linux iptables常用配置
linux iptables常用配置 linux iptablesChangYongPeiZhi
魏王杰 发表于:2016-03-27 11:48:45 阅读(64)
常用iptables配置:
vi /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Sep  1 14:46:57 2015
*filter
:INPUT ACCEPT [853:75060]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [784:465021]
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT  #此行建立established(netstat -in)
-A INPUT -s 172.16.23.6/32 -p tcp -m tcp --dport 22 -j ACCEPT        #22号口
-A INPUT -s 172.16.23.6/32 -p tcp -m tcp --dport 1521 -j ACCEPT       #数据库
-A INPUT -s 172.16.23.6/32 -p tcp -m tcp --dport 1158 -j ACCEPT       #数据库oem
-A INPUT -s 172.16.23.6/32 -p tcp -m tcp --dport 21 -j ACCEPT         #ftp
-A INPUT -s 172.16.23.6/32 -p tcp -m tcp --dport 1:30999 -j ACCEPT    #设置参照下面pasv含义
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT                 #DNS
-A INPUT -p icmp -j ACCEPT                               #ping 命令
-A INPUT -i lo -j ACCEPT                                   #本地lo
-A OUTPUT -s 172.16.23.6/32 -p tcp -m tcp --sport 22 -j ACCEPT   
-A OUTPUT -s 172.16.23.6/32 -p tcp -m tcp --sport 21 -j ACCEPT 
-A OUTPUT -p icmp -j ACCEPT  
-A OUTPUT -o lo -j ACCEPT 
#-A INPUT -s 172.16.23.21/32 -p tcp -m tcp --dport 22 -j ACCEPT          # 限制单台IP主机登录
#-A INPUT -s 172.16.23.21/32 -p tcp -m tcp --dport 1521 -j ACCEPT
-A INPUT -j DROP                                         #删除(不接受)除了以上配置的登录,一定放最后行
COMMIT
# Completed on Tue Sep  1 14:46:57 2015
保存退出
service iptables restart即可


web服务器:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
邮件服务器:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT


FTP服务器:
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
pasv设置:
1.打开:vi /etc/vsftpd/vsftpd.conf在最后面加入如下:
pasv_min_port=1
pasv_max_port=30999
2.再在iptable防火墙规则中加入如下规则:
iptables -A INPUT -p tcp -m tcp --dport 1:30999 -j ACCEPT


 保存iptables规则
service iptables save
 重启iptables
service iptables restart


DNS服务器:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
允许loopback!(不然会导致DNS无法正常关闭等问题)
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT


允许icmp包通过,也就是允许ping:
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT


减少不安全的端口连接(OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链)
iptables -A OUTPUT -p tcp --sport 31337 -j DROP
iptables -A OUTPUT -p tcp --dport 31337 -j DROP
31337到31340(即黑客语言中的 elite 端口)上的服务:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止,出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加允许SSH登陆一样.照着写就行了;


更加细致的规则,就是限制到某台机器,只允许192.168.0.3的机器进行SSH连接
iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP,24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了,-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆;或采用命令方式:
iptables -D INPUT -p tcp --dport 22 -j ACCEPT  
/etc/rc.d/init.d/iptables save
声明:以上内容仅代表作者观点,不代表爱符号赞成此内容或立场
相关分类
热门分享
 
最新分享