iptables 保存策略保存iptables配置

转载

mob64ca13fc220d 2024-04-30 17:24:42

文章标签 iptables 保存策略网络 IP 内网表名 文章分类 云原生云计算

Iptables防火墙（三）

防火墙备份及还原

备份：iptables-save ##默认iptables-save只是查看，想要保存要加“>”重定向

表名”可单独输出想要查看的表

输出的信息以“#”号开头的为注释，“*表名”表示所在的表“:链名默认策略”

还原：iptables-restore ##结合“< 备份路径”恢复即可

自动启用防火墙规则

使用iptables-save >/etc/sysconfig/iptables #保存到这个目录

也可以使用 service iptables save ##同上一样的效果自动保存至/etc/sysconfig/iptables

开机启动服务：

[root@bogon ~]# chkconfig --level2345 iptables on
[root@bogon ~]# chkconfig --listiptables

iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭

使用防火墙脚本

#!/bin/bash

##########定义基本变量#################

INET_IF="eth0"
INET_IP="169.1.1.1"                       //外网IP
LAN_IF="eth1"                        //内网接口
LAN_IP="192.168.2.1"                 //内网接口IP
LAN_NET="192.168.2.0"                //内网网段
LAN_WWW_IP="192.168.2.254"           //网站服务器IP
IPT="/sbin/iptables"                //iptables命令路径
MOD="/sbin/modprobe"                //modprobe命令路径
CTL="/sbin/sysctl"                 //sysctl命令的路径
#########加载内核模块###########
$MOD ip_tables                  //iptables基本模块
$MOD ip_conntrack               //连接跟踪模块
$MOD ip_REJECT                  //支持拒绝操作模块
$MOD ipt_LOG                    //日志记录范围
$MOD ipt_iprange                //支持IP范围
$MOD xt_tcpudp                  //支持TCP、UDP协议
$MOD xt_state                   //支持状态匹配
$MOD xt_multiport               //支持多端口匹配
$MOD xt_mac                     //支持MAC地址匹配
$MOD ip_nat_ftp                 //支持FTP地址转换
$MOD ip_conntrack_ftp           //支持FTP连接跟踪

#########调整/proc参数##############

$CTL -w net.ipv4.ip_forward=1                                     //打开路由转发功能
$CTL -wnet.ipv4.ip_default_ttl=128                               //修改ICMP响应超时
$CTL -w net.ipv4.icmp_echo_ignore_all=1                         //拒绝响应ICMP请求
$CTL -wnet.ipv4.icmp_echo_ignore_broadcasts=1                  //拒绝响应ICMP广播
$CTL -w net.ipv4.tcp_syncookies=1                             //启用SYN Cookie机制
$CTL -w net.ipv4.tcp_syn_retries=3                           //最大SYN请求重试次数
$CTL -wnet.ipv4.tcp_synack_retries=3                        //最大ACK确认重试次数
$CTL -wnet.ipv4.tcp_fin_timeout=60                         //TCP连接等待超时
$CTL -wnet.ipv4.tcp_max_syn_backlog=3200                  //SYN请求的队列长度

########清理已有规则##############

$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw –F
#########设置默认策略#########
$IPT -p INPUT DROP                           
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
########nat设置###########
$IPT -t nat -A POSTROUTING -s$LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP
$IPT -t nat -A PREROUTING -I$INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP

其它设置可以跟据公司实际情况更改及添加

转载于:https://blog.51cto.com/luoyuxiangnian/1552890

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。