在公司的刀片机上装了debian, 总共有2台刀片,一台用做web,一台做数据库。 只给web分配外网IP,web和数据库之间通过内网ip进行通讯。
第一次做iptables,可能还有很多地方遗漏,在这写出来给自己做个留念。
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP --------------------默认策略动作为丢弃
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 ----------由于tomcat用的是普通用户启动,只能用8080端口
###################### INPUT ######################
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p all -i eth1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -s WAN_IP/NETMASK -j ACCEPT -------------开通22端口,远程控制。
/sbin/iptables -A INPUT -p tcp -m limit --limit 100/second --limit-burst 100 -j ACCEPT --------------简单的防 ddos
###################### OUTPUT #####################
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A OUTPUT -p all -o eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 8080 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -d WAN_IP/NETMASK -m state --state ESTABLISHED -j ACCEPT