文档章节

CentOS最严格iptables规则

Nixus
 Nixus
发布于 2014/08/27 10:46
字数 613
阅读 285
收藏 8

记得在大学的时候,老师说过 

由于iptables规则是后写入的,覆盖前面的规则

linux下最安全的防火墙规则就是把所有端口的包先丢弃,然后再一一开启需要的端口

现在工作了,也依然严格按照老师传授的方法来做,但是经常会遇到很多问题,纠结很久;

下面就是我在老师的教导下,通过不断查询资料,根据自己服务器的实际需求,配置的一份iptables的规则,希望大家帮忙指正,非常感谢!

# Generatea by iptabes-save v1.4.7 on Sat Nov 23 10:18:45 2013
*filter
:INPUT DROP [198:17785]
:FORWARD DROP [0:0]
:OUTPUT DROP [6:456]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3360 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -m state --state NEW -m tcp -p tcp --sport 3360 -j ACCEPT
-A OUTPUT -p tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --sport 443 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp --sport 21 -j ACCEPT
-A OUTPUT -p tcp --sport 20 -j ACCEPT
-A INPUT -p tcp --dport 2092 -j ACCEPT
-A OUTPUT -p tcp --sport 2092 -j ACCEPT
-A OUTPUT -p tcp --sport 2100 -j ACCEPT
-A INPUT -p tcp --dport 2100 -j ACCEPT
-A OUTPUT -p tcp --sport 2029 -j ACCEPT
-A INPUT -p tcp --dport 2029 -j ACCEPT
-A OUTPUT -p tcp --sport 2104 -j ACCEPT
-A INPUT -p tcp --dport 2104 -j ACCEPT
-A OUTPUT -p tcp --sport 2101 -j ACCEPT
-A INPUT -p tcp --dport 2101 -j ACCEPT
-A INPUT -p tcp --dport 3306 -j ACCEPT
-A INPUT -p udp --dport 3306 -j ACCEPT
-A OUTPUT -p tcp --sport 3306 -j ACCEPT
-A OUTPUT -p udp --sport 3306 -j ACCEPT
-A OUTPUT -p tcp --dport 11211 -j ACCEPT
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT


© 著作权归作者所有

Nixus
粉丝 10
博文 20
码字总数 4985
作品 0
广州
程序员
私信 提问
加载中

评论(6)

Nixus
Nixus

引用来自“hanzhankang”的评论

只开需要使用的端口,不要开一些无用的
嗯,是这么想的,但是mysql -h master 连接不上,必须把slave的防火墙关掉才行
华兹格
华兹格
只开需要使用的端口,不要开一些无用的
Nixus
Nixus

引用来自“开源中国首席骨科主任”的评论

常用端口不就几个吗? 22 80 443 3306 + VPN。 21这些FTP软件,内部人不多,就直接用22好了。
git 也走22端口。其他端口就不清楚了。
主任,这个配置,mysql主从同步,从服务器上连不到主库,从服务器上的规则也是这个,如果把从服务器上的防火墙关掉,就可以连上了。您看哪里还需要改呢?
金拱门
金拱门
常用端口不就几个吗? 22 80 443 3306 + VPN。 21这些FTP软件,内部人不多,就直接用22好了。
git 也走22端口。其他端口就不清楚了。
Nixus
Nixus

引用来自“Arrowing”的评论

什么是最严格,只有最适合,与本文无关,哈哈。。。
贴出来,希望大家可以帮忙指正! 这个规则,导致我mysql主从同步,从服务器无法连接到主服务器上的mysql,纠结啊! 求指点!
Arrowing
Arrowing
什么是最严格,只有最适合,与本文无关,哈哈。。。
iptables从入门到应用

iptables从入门到应用 一、简介 1.1、是什么? iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。 1.2、发展史 防火墙的发展史就是从墙到链再...

PowerMichael
2017/07/30
0
0
centos7 防火墙解决方案

CentOS 7 默认使用firewalld来管理iptables规则,由于防火墙规则变动的情况很少,动不动态变得无所谓了。但是习惯是魔鬼,跟之前不一样,总是感觉不太习惯。 systemctl disable firewalld yu...

vshcxl
2016/06/20
53
0
Linux自学笔记——iptables

iptables:包过滤型的防火墙 Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文做出相应处理...

claude_liu
2017/12/29
0
0
Linux上iptables防火墙的基本应用教程

iptables是Linux上常用的防火墙软件,下面vps侦探给大家说一下iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等ipt...

神勇小白鼠
2011/05/18
0
0
Linux 如何打开端口

今天开通了一个阿里云主机,在安装tomcat服务后发现80、8080等端口不通,网上找了资料,先是按如下步骤操作: vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –d...

sjzmlb
2015/10/11
614
2

没有更多内容

加载失败,请刷新页面

加载更多

阿里P7架构师:这些技术点没搞懂,我劝你不要跳槽!

阿里P7架构师架构师:这些技术点没搞懂,我劝你不要跳槽! 哪些技术点呢? 废话不多说,技术点全在下面这6张图里面了! 1.怎么看源码? 2.分布式 3.微服务 4.性能优化 5.工程化 粉丝福利:一...

别打我会飞
6分钟前
0
0
易错题

architect刘源源
11分钟前
0
0
使用Json4s 将带有Timestamp的对象转json时 变为所在时区

在有Timestamp属性的对象转json时 最后出来的时间会减小8小时,是因为变成了0时区,需要将隐式转换中添加设置本地时区 import org.json4s.{DefaultFormats, Formats}import org.json4s.jac...

可达鸭Go
13分钟前
0
0
工作六年java程序员的工作感悟,带你走出迷茫

前言 很多年前,刚刚从大学毕业的时候,很多公司来校招。其中最烂俗的一个面试问题是:“你希望你之后三到五年的发展是什么?”。我当时的标准回答是(原话):“成为在某一方面能够独当一面...

java知识分子
18分钟前
0
0
jenkins邮箱发送失败以及解决方案

jenkins邮箱设置报错以及解决方案 Jenkins邮箱设置 我用了 Email Extended Plugin这个插件,这个插件会有更加丰富的邮件内容,建议添加。 1.安装 Email Extended Plugin 2.系统管理-系统设置...

shzwork
27分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部