惯用服务iptables设置

2012-08-21

常用服务iptables设置#查看已经存在的条目sudo iptables -L -n --line-number#也可以简单的sudo iptables

常用服务iptables设置
#查看已经存在的条目

sudo iptables -L -n --line-number

#也可以简单的

sudo iptables -L -n

#禁用全部

sudo iptables -P INPUT DROPsudo iptables -P OUTPUT DROPsudo iptables -P FORWARD DROP

#环回口全部允许

sudo iptables -A INPUT -i lo -j ACCEPTsudo iptables -A OUTPUT -o lo -j ACCEPT

#允许已建立连接的包直接通过

sudo iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#ssh配置

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

#为了安全可以绑定本机地址,网卡

sudo iptables -A INPUT -i eht0 -p tcp -d 10.3.37.100 --dport 22 -j ACCEPTsudo iptables -A OUTPUT -o eth0 -p tcp -s 10.3.37.100 --sport 22 -j ACCEPT

#更安全的配置是过滤发出信息包。

sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

#过滤进入数据包（-p tcp ! --syn）

iptables -A INPUT -i eth0 -p tcp ! --syn -d 10.3.37.100 --dport 80 -j ACCEPT

#mysql配置

sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT

#拒绝个别ip

sudo iptables -A INPUT -s XX.XX.XX.XX -j DROP#封ddos用REJECT，可以降低对方发包速度

#DNS设置

sudo iptables -A INPUT -p udp --dport 53 -j ACCEPTsudo iptables -A INPUT -p udp --sport 53 -j ACCEPTsudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPTsudo iptables -A OUTPUT -p udp --sport 53 -j ACCEPT

#red hat的NFS设置
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/nfs |grep $#
LOCKD_TCPPORT=4002
LOCKD_UDPPORT=4002
MOUNTD_PORT=4003
STATD_PORT=4004
#STATD_OUTGOING_PORT=2020
——————————————————————————
6）iptables配置文件的修改：/etc/sysconfig/iptables
——————————————————————————
[root@client53 ~]# cat /etc/sysconfig/iptables
……前面省略
-A RH-Firewall-1-INPUT -p tcp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 4002:4004 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 111 -j ACCEPT
……后面省略

#ubuntu的nfs，暂时不知道怎么个别服务怎么指定端口，所以只好开2049和32768-65535端口

#FTP设置
#vsftpd先设定数据传输端口。

sudo vi /etc/vsftpd.conf

#最后加入

pasv_min_port = 30000pasv_min_port = 31000

#pureftpd设置数据传输端口

PassivePortRange          30000 31000

#iptables设置

sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT# Enable active ftp transferssudo iptables -A INPUT -p tcp --dport 20 -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT# Enable passive ftp transferssudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPTsudo iptables -A OUTPUT -p tcp --sport 30000:31000 -j ACCEPT

#ubuntu保存与开机加载

sudo iptables-save > iptables.up.rulessudo cp iptables.up.rules /etc/sudo vi /etc/network/interfaces

#在interfaces末尾加入

pre-up iptables-restore < /etc/iptables.up.rules

#也可以设置网卡断开的rules。

post-down iptables-restore < /etc/iptables.down.rules

#CentOS保存

service iptables save

热点排行

操作系统

惯用服务iptables设置