手动执行iptables命令配置企业生产环境下的防火墙

1. 清除当前iptables规则

 iptables -F
 iptables -Z
 iptables -X

2. 定义规则

 iptables -P OUTPUT ACCEPT  
 iptables -P FORWARD ACCEPT 
 iptables -A INPUT -p tcp --dport 22-j ACCEPT   
 iptables -A INPUT -p tcp -s10.0.0.0/24 -j ACCEPT   
 iptables -P INPUT DROP

查看当前定义的规则

[[email protected] ~]# iptables -nL
Chain INPUT (policy DROP)
target    prot opt source              destination        
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT    tcp  --  10.0.0.0/24          0.0.0.0/0          
 
Chain FORWARD (policy ACCEPT)
target    prot opt source              destination        
 
Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

3. 继续定义规则，可以匹配通过的

iptables -A INPUT -i lo -j ACCEPT                          #<== 允许自己的IO网卡可以通过
iptables -A INPUT -s 201.82.34.0/24 -p all -jACCEPT        #<== 201.82.34.0该网段可以通过
iptables -A INPUT -p tcp  --dport 80 -j ACCEPT             #<== 80端口可以通过
iptables -A INPUT -p tcp  --dport 443 -j ACCEPT            #<== 443端口可以通过
iptables -A INPUT -p icmp -m icmp --icmp-type any-j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED-j ACCEPT   #<== 允许关联的状态包

匹配完后查看

[[email protected] ~]# iptables -L -n
Chain INPUT (policy DROP)
target    prot opt source              destination        
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT    tcp  --  10.0.0.0/24          0.0.0.0/0          
ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT    all  --  201.82.34.0/24       0.0.0.0/0          
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT    icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 
Chain FORWARD (policy ACCEPT)
target    prot opt source              destination        
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

4. 将定义好的规则载入配置文件（三种方法，任选一种）

第一种：

[[email protected] ~]# /etc/init.d/iptables save
iptables：将防火墙规则保存到/etc/sysconfig/iptables：     [确定]

第二种：

[[email protected] ~]# iptables-save >/etc/sysconfig/iptables

第三种： <--- 建议在业务量小的时候可以重启

[[email protected] ~]# /etc/init.d/iptables restart
iptables：将链设置为政策 ACCEPT：natfilter                 [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]
iptables：应用防火墙规则：                                 [确定]

# 以上方法任选一种载入后查看

[[email protected] ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Sep 2512:49:48 2016
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [2:120]
COMMIT
# Completed on Sun Sep 25 12:49:48 2016
# Generated by iptables-save v1.4.7 on Sun Sep 2512:49:48 2016
*filter
:INPUT DROP [8675:381885]
:FORWARD ACCEPT [10:440]
:OUTPUT ACCEPT [900:59778]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 201.82.34.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -jACCEPT
COMMIT
# Completed on Sun Sep 25 12:49:48 2016

时间： 2024-12-15 01:56:20

手动执行iptables命令配置企业生产环境下的防火墙的相关文章

企业生产环境下不同业务的linux分区建议

常规分区方案: /boot: 100M swap:内存的1至1.5倍 / : 剩余硬盘大小 DB及存储:有大量重要的数据 /boot : 100M swap: 内存的1至1.5倍,如果内存大于等于16G,分为8G至16G / :50-200G /data: 硬盘剩余所有大小,存放数据门户大网站: /boot : 100M swap: 内存的1至1.5倍 / : 50-200G 硬盘剩余大小不再进行分区,将来由使用者根据需求再分

(转)企业生产环境用户权限集中管理方案案例

https://wenku.baidu.com/view/0acd163d4a73f242336c1eb91a37f111f1850d94.html http://blog.51cto.com/youngboy/1660551 https://www.cnblogs.com/redball/articles/6992236.html 企业生产环境用户权限集中管理方案案例 1问题现状当前我们公司服务器上百台,各个服务器上需要管理的人很多(开发+运维+架构+DBA+产品+市场),在大家同时登录Li

企业生产环境NFS客户端挂载建议(八)

企业生产环境NFS客户端挂载建议: 一.把NFS rpc服务的启动命令和挂载命令均放到/etc/rc.local,然后通过nagios监控软件监控开机后的挂载情况.如: [[email protected] ~]# cat /etc/rc.local #!/bin/sh # # Thisscript will be executed *after* all the other init scripts. # You canput your own initialization stuff in

理解Docker（6）：若干企业生产环境中的容器网络方案

本系列文章将介绍 Docker的相关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 (4)Docker 容器的隔离性 - 使用 cgroups 限制容器使用的资源 (5)Docker 网络 (6)若干企业生产环境中的容器网络方案 Docker 在早期只有单机上的网络解决方案,在 1.19 版本引入了原生的 overlay 网络解决方案,但是它的性能损耗较大,可能无法适应一些生产环

生产环境下的iptables

生产环境下的iptables设置,这是我自己的一点总结,浅显之处望大家指出批评,共同学习. 我的局域网为192.168.1.0/24. 1.先清空所有规则 iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z 设置默认规则前开发ssh(6123)端口 iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport

企业生产环境不同业务的Linux分区方案

企业生产环境不同业务的Linux分区方案 1.常规分区 /boot 100M swap 内存的1.5倍(若内存大于16G,swap分配8-16G即可) / 剩余所有硬盘空间 2.DB及存储(有大量的重要数据) /boot 100M swap 内存的1.5倍(若内存大于16G,swap分配8-16G即可) / 50-200G /data 剩余所有硬盘空间注:一般有重要数据的业务,要尽可能的把数据所在的分区单独分出来. 3.门户网站

企业生产环境不同业务，系统分区建议（自定义分区布局）

Linux系统对分区的要求 1.最少要有/分区 2.swap(交换分区)的作用:虚拟化内存,swap区分的大小=105*物理内存容量(mem<8G) 3.建议设置独立的/boot分区 #linux引导分区,存放系统引导文件,如果linux内核等,所有文件大小一般只有十几M,因此,该分区设置100-200M 企业生产环境不同业务linux系统分区建议(自定义分区布局) 1.常规分区方案 /分区:剩余硬盘大小 swap分区:内存的1.5倍(mem>8G) /boot分区:100M 2.DB及存储

生产环境下搭建 nagios+nconf+cacti+npc的整合

系统:CentOS6.5 内核版本系统:2.6.32-431.23.3.el6.x86_64 关闭iptables .selinux chkconfig iptables off 安装前的准备工作 yum install -y httpd-* mysql-* php-* net-snmp* gcc glibc glibc-common gd gd-devel openssl* 一.nagios 环境的搭建 1.安装nagios useradd nagios tar zxf nagios-3

Java生产环境下性能监控与调优详解

第1章课程介绍(Java秒杀课程老师倾力打造)本章为大家介绍生产环境可能存在的问题和常用的性能监控工具,以及课程能学到什么,课程内容如何安排等,让大家对课程有个全貌的认识,从而更好的学习这门课程.1-1 为什么学习这门课程? 第2章基于JDK命令行工具的监控本章带大家学习JDK的命令行监控工具的使用,包括jps.jinfo.jstat.jmap.jstack, 并结合MAT实战如何定位内存溢出,实战如何定位死循环和死锁.2-1 JVM的参数类型2-2 查看JVM运行时参数2-3 jstat查