1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<code>伺服器iptables 基本配置</code>
<code># 1.删除現有規則</code>
<code>iptables -F</code>
<code># 2.允許遠端主機進行SSH連接配接</code>
<code>iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT</code>
<code>iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT</code>
<code># 3.允許本地主機進行SSH連接配接</code>
<code>iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT</code>
<code>iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT</code>
<code># 4.允許HTTP請求</code>
<code>iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</code>
<code>iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</code>
<code># 5.允許yum</code>
<code>#允許進入的資料包隻能是剛剛我發出去的資料包的回應,ESTABLISHED:已建立的連結狀态。RELATED:該資料包與本機發出的資料包有關。</code>
<code>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</code>
<code>iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</code>
<code>iptables -A OUTPUT -p tcp -m tcp -m state --state NEW --dport 80 -j ACCEPT</code>
<code># 6.允許dns</code>
<code>iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT</code>
<code>iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT</code>
<code># 7.系統預設 允許ICMP, lo本地通路</code>
<code>iptables -A INPUT -p icmp -j ACCEPT</code>
<code>iptables -A INPUT -i lo -j ACCEPT</code>
<code>#在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規則的資料包。并且發送一條host prohibited的消息給被拒絕的主機。</code>
<code>iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited</code>
<code>iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited</code>
<code># 8.配置預設鍊政策(最後再弄這個)</code>
<code>iptables -P INPUT DROP</code>
<code>iptables -P FORWARD DROP</code>
<code>iptables -P OUTPUT DROP</code>
本文轉自 295631788 51CTO部落格,原文連結:http://blog.51cto.com/hequan/1893677,如需轉載請自行聯系原作者