天天看点
返回

iptables安全标准配置

<code>外网ip a.x 内ip c.x</code>

<code>内网ip b.x</code>

<code># Generated by iptables-save v1.4.7</code>

<code>*</code><code>nat</code>

<code>:PREROUTING ACCEPT [</code><code>240124</code><code>:</code><code>15466097</code><code>]</code>

<code>:POSTROUTING ACCEPT [</code><code>12190495</code><code>:</code><code>633906308</code><code>]</code>

<code>:OUTPUT ACCEPT [</code><code>12190519</code><code>:</code><code>633907556</code><code>]</code>

<code>-</code><code>A PREROUTING </code><code>-</code><code>d a.x</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>3310</code> <code>-</code><code>j DNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>destination b.x:</code><code>3306</code> 

<code>-</code><code>A PREROUTING </code><code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>2222</code> <code>-</code><code>j DNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>destination b.x:</code><code>22</code> 

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>1</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>2</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>3306</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>3</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>4</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>5</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>-</code><code>A POSTROUTING </code><code>-</code><code>d b.x.</code><code>6</code><code>/</code><code>32</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j SNAT </code><code>-</code><code>-</code><code>to</code><code>-</code><code>source a.x </code>

<code>COMMIT</code>

<code># Completed on Fri Apr 21 17:18:20 2017</code>

<code>*</code><code>filter</code>

<code>:</code><code>INPUT</code> <code>ACCEPT [</code><code>180932</code><code>:</code><code>11563176</code><code>]</code>

<code>:FORWARD ACCEPT [</code><code>280525</code><code>:</code><code>60883714</code><code>]</code>

<code>:OUTPUT ACCEPT [</code><code>24489274</code><code>:</code><code>1959801503</code><code>]</code>

<code>:syn</code><code>-</code><code>flood </code><code>-</code> <code>[</code><code>0</code><code>:</code><code>0</code><code>]</code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>s </code><code>10.0</code><code>.</code><code>0.0</code><code>/</code><code>8</code> <code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>d </code><code>10.0</code><code>.</code><code>0.0</code><code>/</code><code>8</code> <code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>80</code> <code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p icmp </code><code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>i lo </code><code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m state </code><code>-</code><code>-</code><code>state NEW </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>22</code> <code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>80</code> <code>-</code><code>m connlimit </code><code>-</code><code>-</code><code>connlimit</code><code>-</code><code>above </code><code>50</code> <code>-</code><code>-</code><code>connlimit</code><code>-</code><code>mask </code><code>32</code> <code>-</code><code>j REJECT </code><code>-</code><code>-</code><code>reject</code><code>-</code><code>with icmp</code><code>-</code><code>port</code><code>-</code><code>unreachable </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>tcp</code><code>-</code><code>flags FIN,SYN,RST,ACK SYN </code><code>-</code><code>j syn</code><code>-</code><code>flood </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>i eth1 </code><code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>tcp</code><code>-</code><code>flags FIN,SYN,RST,ACK SYN </code><code>-</code><code>m connlimit </code><code>-</code><code>-</code><code>connlimit</code><code>-</code><code>above </code><code>30</code> <code>-</code><code>-</code><code>connlimit</code><code>-</code><code>mask </code><code>32</code> <code>-</code><code>j DROP </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m state </code><code>-</code><code>-</code><code>state RELATED,ESTABLISHED </code><code>-</code><code>j ACCEPT </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>80</code> <code>-</code><code>m recent </code><code>-</code><code>-</code><code>update </code><code>-</code><code>-</code><code>seconds </code><code>60</code> <code>-</code><code>-</code><code>hitcount </code><code>30</code> <code>-</code><code>-</code><code>name BAD_HTTP_ACCESS </code><code>-</code><code>-</code><code>rsource </code><code>-</code><code>j REJECT </code><code>-</code><code>-</code><code>reject</code><code>-</code><code>with icmp</code><code>-</code><code>port</code><code>-</code><code>unreachable </code>

<code>-</code><code>A </code><code>INPUT</code> <code>-</code><code>p tcp </code><code>-</code><code>m tcp </code><code>-</code><code>-</code><code>dport </code><code>80</code> <code>-</code><code>m recent </code><code>-</code><code>-</code><code>set</code> <code>-</code><code>-</code><code>name BAD_HTTP_ACCESS </code><code>-</code><code>-</code><code>rsource </code><code>-</code><code>j ACCEPT </code>

<code>-</code><code>A syn</code><code>-</code><code>flood </code><code>-</code><code>p tcp </code><code>-</code><code>m limit </code><code>-</code><code>-</code><code>limit </code><code>10</code><code>/</code><code>sec </code><code>-</code><code>-</code><code>limit</code><code>-</code><code>burst </code><code>20</code> <code>-</code><code>j RETURN </code>

<code>-</code><code>A syn</code><code>-</code><code>flood </code><code>-</code><code>j REJECT </code><code>-</code><code>-</code><code>reject</code><code>-</code><code>with icmp</code><code>-</code><code>port</code><code>-</code><code>unreachable </code>

最好用上fail2ban-0.9.0限制ssh

本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1918295,如需转载请自行联系原作者

安全 配置iptables iptables安全 iptables配置详解 iptables转发 iptables如何配置
上一篇: 美团点评开源 SQL 优化工具 SQLAdvisor 测试报告
下一篇: Win10系统中切换虚拟桌面的快捷键如何设置

继续阅读