文档章节

iptables简单设置

lixinnan
 lixinnan
发布于 2016/06/07 16:37
字数 458
阅读 37
收藏 5

iptables操作比较危险,操作之前建议设置cron防止出现无法登陆服务器的情况。每2分钟关闭一次防火墙,调试完毕记得注释到。(警告)

echo " */2 * * * * /etc/init.d/iptables stop " >>/etc/crontab

iptables –F  清空规则
iptables –X  清空规则
iptables –Z  清空规则
iptables –F –t nat  清空规则
iptables –X –t nat  清空规则
iptables –Z –t nat  清空规则

1、iptables查看

[root@kingsoft-ops-donwload ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 274K  167M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
   14   728 ACCEPT     all  --  *      *       111.11.11.11/29    0.0.0.0/0           
 167K   61M ACCEPT     all  --  *      *       10.0.0.0/8           0.0.0.0/0           
 6300  260K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   15   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp multiport dports 254,25 
    2    80 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 
97266 3142K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
Chain OUTPUT (policy ACCEPT 128K packets, 970M bytes)
 pkts bytes target     prot opt in     out     source               destination  

 

 

2、例子:

接受已经建立连接的TCP连接

 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

接受此ip段的所有请求

 

-A INPUT -p all -s 219.238.170.226/27 -j ACCEPT

 

拒绝IP的所有请求

 

-A INPUT -p tcp -s 10.182.11.40 -j DROP

 

允许10.x的访问请求,服务器部分业务需要内部通信。

 

-A INPUT -s 10.0.0.0/8 -j ACCEPT

 

允许来自回环地址的请求

 

-A INPUT -i lo -j ACCEPT

 

允许多端口访问

 

-A INPUT -p tcp -m tcp -m multiport --dports 25524,25525,80,9000,19000 -j ACCEPT

 

允许做dns解析

 

-A INPUT -p udp -m udp --sport 53 -j ACCEPT

 

除以上行为外全部拒绝进入

 

-A INPUT -j REJECT --reject-with icmp-host-prohibited

 

拒绝转发icmp,这个是禁止ping,主机ping不通并不能确定该主机宕机,有可能是因为此策落。

 

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

 

 

 

 

本文转载自:

lixinnan
粉丝 0
博文 61
码字总数 15921
作品 0
海淀
程序员
私信 提问

暂无文章

Dubbo-自适应拓展机制

背景 在 Dubbo 中,很多拓展都是通过 SPI 机制进行加载的,比如 Protocol、Cluster、LoadBalance 等,这些都是Dubbo的基础组件。这些基础组件的拓展不是在系统框架启动阶段被加载,而是拓展方...

rock-man
37分钟前
6
0
Kali安装fcitx输入法(五笔)

安装fcitx > sudo apt-get install fcitx-rime fcitx-config-gtk3 重启 > sudo reboot fcitx配置 效果就是这样 配置输入法切换 系统设置...

yeahlife
38分钟前
4
0
IE之css3效果兼容

本文转载于:专业的前端网站▷IE之css3效果兼容 一、兼容css阴影效果(ie滤镜) 1.Shadow,阴影 .shadow { -moz-box-shadow: 3px 3px 4px #000; -webkit-box-shadow: 3px 3px 4px #000; box-sha...

前端老手
42分钟前
4
0
NiushopB2C开源商城功能列表说明:

B2C单商户免费版:PC商城+微商城 B2C单商户标准版:PC商城+微商城组合套餐+阶梯优惠核销功能 B2C单商户企业版:PC商城+微商城拼团+组合套餐阶梯优惠+核销功能 B2C单商户分销版:PC商城+微商城...

niushop-芳
43分钟前
4
0
图片如何转GIF图片呢

如何将生活中拍摄的好玩有趣的图片制作成GIF动图呢?相信很多小伙伴都不知道要如何制作,其实制作方法非常的简单,下面分享一个图片转GIF动图的方法,希望这个方法能够帮助大家在与好友斗图时...

白米稀饭2019
50分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部