iptables 初始化脚本:默认拒绝所有,允许指定。
INPUT 拒绝
FORWARD 拒绝
OUTPUT 接受
根据要求只开放允许端口。
- # vi firewall-init.sh
- #!/bin/bash
- iptables -P INPUT ACCEPT
- iptables -F
- iptables -X
- #开放指定端口,以此类推。
- iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- #默认规则设为拒绝
- iptables -P INPUT DROP
- iptables -P FORWARD DROP
- iptables -P OUTPUT ACCEPT
- iptables -A INPUT -i lo -j ACCEPT
- #允许已建立或关联的包
- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- #开放其它端口
- ......
- 执行上面的脚本,生成默认的iptables规则。接着保存规则。
- #chmod +x firewall-init.sh
- #./firewall-init.sh
- #保存到指定文件方便修改,以后可直接修改iptables.txt。
- /sbin/iptables-save > /etc/iptables.txt
- #通过iptables-restore命令加载配置
- /sbin/iptables-restore < /etc/iptables.txt
- #写入开机启动
- echo "/sbin/iptables-restore /etc/iptables.txt " >> /etc/rc.local
- #列出规则列表
- /sbin/iptables -L -v -n
