linux 防火墙设置(转)

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT

#ping使用的端口
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

#80端口不用说了吧,服务器网站访问端口
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
#######iptables -A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT
#######iptables -A INPUT -p tcp -m tcp --dport 11212 -j ACCEPT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

#53端口是DNS相关,TCP和UDP都要配置
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

减少不安全的端口连接
[[email protected] ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[[email protected] ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

丢弃坏的TCP包
[[email protected] ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

处理IP碎片数量,防止攻击,允许每秒100个
[[email protected] ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[[email protected] ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

#VPN-PPTP
iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT

#ss5
iptables -A INPUT -p tcp -m tcp --dport 1080 -j ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

[[email protected] ~]# /etc/rc.d/init.d/iptables save
[[email protected] ~]# service iptables restart
______________________________________________________________
#ping使用的端口
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT
#允许服务器SSH到其他机器(使用外部端口就使用--dport)
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
#允许服务器自己的SSH(自已为源输出就使用--sport)
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
#访问外部网站80端口(使用外部端口就使用--dport)
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
#如果服务器需要访问外部网站,那么OUTPUT也需要配置53端口(使用外部端口就使用--dport)
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
#如果有访问外部邮箱,那么打开邮箱相关端口(使用外部端口就使用--dport)
-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
#服务器网站访问端口(自已为源输出就使用--sport)
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 11211 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 11212 -j ACCEPT
________________________________________________________________
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP
指令I是insert指令 但是该指令会insert在正确位置并不像A指令看你自己的排序位置,因此用屏蔽因为必须在一开始就要加载屏蔽IP,所以必须使用I命令加载,然后注意执行/etc/rc.d/init.d/iptables save进行保存后重启服务即可

——————————————————————————————————————————

配置导入导出

[[email protected] ~]# iptables-save > /opt/iptables.txt###备份所有表的规则

[[email protected] ~]# iptables-restore < /opt/iptables.txt###备份所有表的规则

时间: 2024-10-25 15:38:22

linux 防火墙设置(转)的相关文章

linux 防火墙设置

防火墙的基本操作命令: 查询防火墙状态:[[email protected] ~]# service iptables status<回车> 停止防火墙:[[email protected] ~]# service iptables stop <回车> 启动防火墙:[[email protected] ~]# service iptables start <回车> 重启防火墙:[[email protected] ~]# service iptables restart

Linux防火墙设置

(1) 重启后永久性生效: 开启:chkconfig iptables on 关闭:chkconfig iptables off (2) 即时生效,重启后失效: 开启:service iptables start 关闭:service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作. (3)在开启了防火墙时,做如下设置,开启相关端口, 修改/etc/sysconfig/iptables 文件,添加以下内容: -A RH-Firewall-1-

Linux防火墙设置-DNS服务器篇

亲测可用,对于刚刚搭建了DNS服务器,需要开启防火墙但又不知道该怎么设置的朋友,可以参考下面的内容,或者直接使用我下面给出的脚本程序. 如果服务器是作为DNS服务器使用的,针对绝大多数的情况,为了开启防火墙同时又能正常地提供相关的服务,一般的设置如下: [1]第一步:清除默认防火墙规则 iptables -F iptables -X iptables -Z ·参数说明: -F:清除所有的已制定的规则 -X:清除所有用户自定义的chain(应该说的是tables) (扩展:table--Linux

Linux 防火墙设置常用指令

查看防火墙状态命令: service firewalld status systemctl status firewalld 结果: 其中:   enabled:开机启动(开机不启动是disabled): active(running):已经启动(未启动是inactive). 启动防火墙命令:service firewalld start(或者systemctl start firewalld) 关闭防火墙命令:service firewalld stop(或者systemctl stop fi

linux防火墙设置常用命令

1.永久性生效,重启后不会复原 开启: chkconfig iptables on 关闭: chkconfig iptables off 2.即时生效,重启后复原 开启: service iptables start 关闭: service iptables stop 3.在不关闭防火墙的情况下选择性开放端口访问权限 直接编辑/etc/sysconfig/iptables-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT保存在前面部分再重启:service

linux设置iptables防火墙的详细步骤(centos防火墙设置方法)

我们 来讨论一下如何为你的CentOS 服务器来设置简单的防火墙. 这里我们以DigitalOcean的CentOS 6 VPS为基础来讨论的,同样也适用于 阿里云上其他类型的LINUX系统. (阿里云有个云盾系统,因此在你自己的VPS上不设置防火墙也是可以的) 需要说明的是: 本文只涉及最基础最常用的防火墙设置,能屏蔽一些常用的攻击,但并不能彻底保证你的服务器的安全. 系统的随时更新 以及 关闭不必要的服务 仍然是保证系统安全非常重要的步骤. 如果你需要更全面的了解iptables,阅读本文后

linux防火墙及端口开关设置

一.Linux下开启/关闭防火墙命令 1) 永久性生效,重启后不会复原 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后复原 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作. 在当开启了防火墙时,做如下设置,开启相关端口, 修改/etc/sysconfig/iptables 文件,添加以

RedHat Linux下iptables防火墙设置

一般情况下iptables已经包含在Linux发行版中.运行 # iptables --version 来查看系统是否安装iptables 启动iptables: # service iptables start 查看iptables规则集 # iptables --list 下面是没有定义规划时iptables的样子: Chain INPUT (policy ACCEPT) target    prot opt source              destination Chain FOR

linux 修改ip地址 和关闭防火墙设置

修改ip 地址  和 关闭启动防火墙 1.ifconfig 查看  ip 2.如果没有网卡 查看 ifcfg-eth0 文件是否存在 cd /etc/sysconfig/network-scripts/ ls -s  查看 如果有 查看 DEVICE=eth0 HWADDR=00:0C:29:0f:b8:70 这两个选项与 vi /etc/udev/rules.d/70-persistent-net.rules 中 的eth0 是否一样 如果还不行就用 eth1 网卡 vi /etc/udev/