用于生产环境的 iptables rule

最新推荐文章于 2023-06-18 21:49:35 发布

苹果未了

最新推荐文章于 2023-06-18 21:49:35 发布

阅读量451

点赞数

分类专栏： linux

linux 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

#用于生产环境的 iptables rule，开启了常用的端口 22 80 25 110 8080 3306 等，如果 sshd 端口不是 22，需要自行修改脚本。
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# 开放 sshd
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
# DROP 掉所有的包
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# 本机放行
iptables -t filter -I INPUT 1 -i lo -j ACCEPT
iptables -t filter -I OUTPUT 1 -o lo -j ACCEPT
# DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
# NFS
iptables -A INPUT -p tcp --dport=111 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=111 -j ACCEPT
iptables -A INPUT -p tcp --dport=2049 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=2049 -j ACCEPT
#sendmail
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
#sms
iptables -A INPUT -p tcp --dport 8060 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8060 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8060 -j ACCEPT
# SAMBA
iptables -A INPUT -p tcp --dport=139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=139 -j ACCEPT
iptables -A INPUT -p tcp --dport=445 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=445 -j ACCEPT
iptables -A INPUT -p udp --dport=137 -j ACCEPT
iptables -A OUTPUT -p udp --sport=137 -j ACCEPT
iptables -A INPUT -p udp --dport=138 -j ACCEPT
iptables -A OUTPUT -p udp --sport=138 -j ACCEPT
# 21, yum
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
# 80
iptables -A INPUT -p tcp --dport=80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport=80 -j ACCEPT
# 8080
iptables -A INPUT -p tcp --dport=8080 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=8080 -j ACCEPT
iptables -A OUTPUT -p tcp --dport=8080 -j ACCEPT
# 443
iptables -A INPUT -p tcp --dport=443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport=443 -j ACCEPT
# 3306，只允许 192.168.0.2 连接
iptables -A INPUT -p tcp --dport=3306 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=3306 -j ACCEPT
iptables -A OUTPUT -p tcp --dport=3306 -j ACCEPT
iptables -A INPUT -p udp --dport=3306 -j ACCEPT
iptables -A OUTPUT -p udp --sport=3306 -j ACCEPT
#rsync
iptables -A INPUT -p tcp -s 114.113.229.234 --sport 1024:65535 --dport 873 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.1/3 --sport 1024:65535 --dport 873 -j ACCEPT
iptables -A OUTPUT -p tcp -d 114.113.229.234 --dport 1024:65535 --sport 873 -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.1/3 --dport 1024:65535 --sport 873 -j ACCEPT
#3690 svn
iptables -A INPUT -p tcp --dport=3690 -j ACCEPT
iptables -A OUTPUT -p tcp --sport=3690 -j ACCEPT
iptables -A OUTPUT -p tcp --dport=3690 -j ACCEPT
# DHCP
iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
# ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#allow old connection, deny new connection
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW,INVALID -j DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
/etc/init.d/iptables save
chkconfig iptables --level 2345 on
service iptables start

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
用于生产环境的 iptables rule

#用于生产环境的 iptables rule，开启了常用的端口 22 80 25 110 8080 3306 等，如果 sshd 端口不是 22，需要自行修改脚本。iptables -F iptables -X iptables -t nat -F iptables -t nat -X # 开放 sshd iptables -A INPUT -p tcp --dport 22 -j ...
复制链接

扫一扫

专栏目录

苹果未了 CSDN认证博客专家 CSDN认证企业博客

码龄12年

5: 原创

136万+: 周排名

214万+: 总排名

1871: 访问

: 等级

62: 积分

2: 粉丝

0: 获赞

0: 评论

1: 收藏

私信

关注

热门文章

分类专栏

杂七杂八 1篇
oracle 1篇
linux 2篇
python 1篇

您愿意向朋友推荐“博客详情页”吗？

强烈不推荐
不推荐
一般般
推荐
强烈推荐

提交

最新文章

目录

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。