由于在服务器部署时,为了方便部署,把本机的iptables都关上了,然后还手欠的保存了设置,再想找回来是不可能了,那就重新设置一些适合我的防火墙策略吧!


如果你使用远程连接到你的服务器,那么ssh端口是不可少的,不要把自己关在外面!

ssh默认端口号是22,可以通过/etc/sshd/sshd.conf来修改

iptables -I INPUT -p tcp --dport 22 -j ACCEPT


然后是拒绝所有的进入链接,有很多人用的DROP,下面简单说一下两者的区别:

iptables -A INPUT -j REJECT

   REJECT和DROP的区别是什么?某天听到Sery的解释,感觉说的很容易理解:

  “就好象骗子给你打电话,drop就是直接拒收。reject的话,相当于你还给骗子回个电话。”

其实对于到底是使用DROP还是REJECT,从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包,两个策略各有优劣,简单总结如下:
    DROP比REJECT好在节省资源,而且延缓******的进度(因为不会给***返回任何有关服务器的信息);坏在容易让企业的网络问题难以排查,而且在DDoS***的情况容易耗尽所有的带宽。
    REJECT比DROP的好处在于容易诊断和调试网络设备或防火墙造成的问题;坏处上面也说了,你给骗子回个电话,相当于暴露了自己的服务器信息。
    所以一般的建议是在上游防火墙中使用REJECT,在比较危险的面向外网的基础防火墙上,使用DROP要相对安全一些。(文章取自百度知道)

iptables -A是在当前已有记录下面追加一条规则,优先级比他上面的规则低
iptables -I 是在当前已有记录上面插入一条规则,优先级比他下面的规则高

所以,当添加好一天拒绝所有连接的规则后,下面配置的规则都应该在他的上面!

下面开始一些主要服务的端口开启:

开放icmp应答,ftp传输:

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

一.网站服务器

开放8080(tomcat)端口(httpd默认端口80):

iptables -I INPUT -p tcp --dport 8080 -j ACCEPT



二.文件服务器NFS

1.开放2049(NFS)端口和111(RPC):

iptables -I INPUT -p tcp --dport 2049 -j ACCEPT

iptables -I INPUT -p tcp --dport 111 -j ACCEPT

iptables -I INPUT -p ucp --dport 111 -j ACCEPT

2.文件服务启动服务需开放回环端口

iptables -I INPUT -i lo -j ACCEPT 

3.开放mountd和lockd端口

①vim /etc/sysconfig/nfs

RQUOTAD_PORT=875

LOCKD_TCPPORT=32803

LOCKD_UDPPORT=32769

MOUNTD_PORT=892


iptables -I INPUT -p tcp --dport 892 -j ACCEPT

iptables -I INPUT -p udp --dport 892 -j ACCEPT

iptables -I INPUT -p tcp --dport 32803 -j ACCEPT

iptables -I INPUT -p udp --dport 32803 -j ACCEPT

iptables -I INPUT -p tcp --dport 32769 -j ACCEPT

iptables -I INPUT -p udp --dport 32769 -j ACCEPT

iptables -I INPUT -p udp --dport 875 -j ACCEPT

iptables -I INPUT -p tcp --dport 875 -j ACCEPT


三.网络***防御

允许一个网段ping 

iptables -I INPUT -p icmp -s 192.168.6.0/24 -j ACCEPT


防Ddos***:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


--litmit 25/minute 指示每分钟限制最大连接数为25

--litmit-burst 100 指示当总连接数超过100时,启动 litmit/minute 限制

禁止Ping入

#允许内网(192.168.1.*)的ping入,允许ping出,禁止其它网段的ping入

iptables -A INPUT -p icmp --icmp-type

iptables -A INPUT -p icmp --icmp-type 8 -j DROP


四.端口转发

将本机80端口的请求转发到8080端口:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

将本机的81端口的请求全部转发到192.168.1.1:80

#首先要启用ipv4的转发功能:

echo 1 > /proc/sys/net/ipv4/ip_forward

#或者是修改/etc/sysctl.conf以便重启后也会启用转发,然后设定iptables:

iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 192.168.1.1:80

iptables -t nat -A POSTROUTING -j MASQUERADE

#如果开启了防火墙功能,注意要将80和81两个端口都打开


五.防火墙规则删除

显示所有规则的行号:


iptables -L INPUT --line-numbers 

删除对应的行号的规则:

iptables -D chain rulenum [options]

iptables -D INPUT number

注意:删除第一条规则后,第二条规则会成为第一条规则!

六.自动化规则设置

当你设置好一台服务器的规则时,还有很多规则差不多的服务器需要设置规则,这样的话,建议把所有规则复制到shell脚本中,直接一执行规则就设置好了!


转载于:https://blog.51cto.com/forall/1908421