iptables 主机防火墙

原创

邓旭阳_dxy 2016-09-17 12:03:22 博主文章分类：linux架构 ©著作权

文章标签 iptables 其他 文章分类 运维

©著作权归作者所有：来自51CTO博客作者邓旭阳_dxy的原创作品，请联系作者获取转载授权，否则将追究法律责任

配置iptables 主机防火墙

iptables -F #清空规则

iptables -X #清空用户自定义链

iptables -Z #清空计数器

第一步配置允许SSH登录端口进入

iptables -nL

iptables -A INPUT -p tcp -s 10.0.0.0/24 -j ACCEPT #这两条任意一条就行了。

iptables -A INPUT -p tcp --dport 52113 -j ACCEPT

第二步设置允许本机回环端口的通信规则

iptables -A INPUT -i lo -j ACCEPT #打开本机回环接口允许通过

iptables -A OUTPUT -o lo -j ACCEPT

第三步设置默认的防火墙禁止和允许的规则（主机防火墙的本质：默认规则是拒绝的。）

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT （OUTPUT设置为ACCEPT，是安全易用方便的一个平衡）

iptables -nL

第四步对外提供服务

开启信任的IP网段。

iptables -A INPUT -s 124.54.43.21/27 -p all -j ACCEPT #允许办公室出口IP连接服务器（细化到掩码最小）

iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT #要有多个机房，多个机房的内网要互通

iptables -A INPUT -s 202.83.21.0/24 -p all -j ACCEPT #多个机房的外网网段允许访问

允许业务端口对外访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许80口对外访问/开放80口允许访问

iptables -A INPUT -P tcp --dport 443 -j ACCEPT #

允许ICMP类型协议通过

iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT #允许所有人PING

iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT #只允许某些源地址PING

允许关联的包通过

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -nL

第五步保存

/etc/init.d/iptables save

iptables-save> /etc/sysconfig/iptables #两种方式

nmap 192.10.8.13 -p 1-65535 #扫描

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯