iptables安全标准配置

外网ip a.x 内ip c.x
内网ip b.x

# Generated by iptables-save v1.4.7
*nat
:PREROUTING ACCEPT [240124:15466097]
:POSTROUTING ACCEPT [12190495:633906308]
:OUTPUT ACCEPT [12190519:633907556]
-A PREROUTING -d a.x/32 -p tcp -m tcp --dport 3310 -j DNAT --to-destination b.x:3306 
-A PREROUTING -p tcp -m tcp --dport 2222 -j DNAT --to-destination b.x:22 
-A POSTROUTING -d b.x.1/32 -p tcp -m tcp --dport 22 -j SNAT --to-source a.x 
-A POSTROUTING -d b.x.2/32 -p tcp -m tcp --dport 3306 -j SNAT --to-source a.x 
-A POSTROUTING -d b.x.3/32 -p tcp -m tcp --dport 22 -j SNAT --to-source a.x 
-A POSTROUTING -d b.x.4/32 -p tcp -m tcp --dport 22 -j SNAT --to-source a.x 
-A POSTROUTING -d b.x.5/32 -p tcp -m tcp --dport 22 -j SNAT --to-source a.x 
-A POSTROUTING -d b.x.6/32 -p tcp -m tcp --dport 22 -j SNAT --to-source a.x 
COMMIT
# Completed on Fri Apr 21 17:18:20 2017
# Generated by iptables-save v1.4.7
*filter
:INPUT ACCEPT [180932:11563176]
:FORWARD ACCEPT [280525:60883714]
:OUTPUT ACCEPT [24489274:1959801503]
:syn-flood - [0:0]
-A INPUT -s 10.0.0.0/8 -j ACCEPT 
-A INPUT -d 10.0.0.0/8 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood 
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP 
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m recent --update --seconds 60 --hitcount 30 --name BAD_HTTP_ACCESS --rsource -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 80 -m recent --set --name BAD_HTTP_ACCESS --rsource -j ACCEPT 
-A syn-flood -p tcp -m limit --limit 10/sec --limit-burst 20 -j RETURN 
-A syn-flood -j REJECT --reject-with icmp-port-unreachable 
COMMIT
# Completed on Fri Apr 21 17:18:20 2017

最好用上fail2ban-0.9.0限制ssh

时间: 2024-11-18 04:54:48

iptables安全标准配置的相关文章

CentOS7安装iptables防火墙

CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #安装iptables-services yum install iptables-services 禁用/停止自带的firewalld服务 #停止fir

iptables端口转发

1. 确定forward开启 # cat /proc/sys/net/ipv4/ip_forward1 2. 转发进来的包 iptables -t nat -A PREROUTING -d 111.111.111.111 -p tcp -m tcp --dport 16922 -j DNAT --to-destination 192.168.0.169:22 这表示将目的地为111.111.111.111:16922的包发往 192.168.0.169:22 3. 设置回路 iptables -

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

防火墙iptables

防火墙 主配置文件:vim /etc/sysconfig/iptables 想要自定义防火墙,需要把这里的规则清空并且权限设置成DROP 防火墙名字:netfilter,工具:iptables 防火墙有三个表filter,nat,mangle 每个表下面还有链: filter表主要用于过滤包,系统预设的表.内建三个链INPUT.OUTPUT.FORWARD,INPUT作用于进入本机的包,OUTPUT作用于本机送出的包,FORWARD作用于跟本机无关的包. nat表主要用处是网络地址转换,PRER

【整理笔记-防火墙】实现iptables防火墙搭建

搭建防火墙,配置防火墙. - - 系统centos7 . centos7自带firewalld,由于看firewalld命令行没有接触过,所以安装iptables防火墙. 1:禁用firewalld firewall-cmd --state 查看系统自带防火墙状态. 用systemctl stop firewalld.service   禁止立即生效, systemctl disable firewalld.service  永久关闭firewalld.执行完再看一下防火墙状态, 显示为not

iptables man中文手册

名称        iptables - IP包过滤器管理 总览        iptables -ADC  指定链的规则  [-A  添加 -D 删除 -C 修改]        iptables - RI        iptables -D chain rule num[选项]        iptables -LFZ 链名 [选项]        iptables -[NX] 指定链        iptables -P chain target[选项集]        iptables

service iptables start 无反应的解决方法

[[email protected] ~]# service iptables start[[email protected] ~]# service iptables status防火墙已停解决方法:一.初始化iptables.iptables -Fservice iptables saveservice iptables restartvi /etc/sysconfig/iptables 二.把预置的iptables规则添加进去就可以了:# Firewall configuration wr

关闭系统不必要的服务;关闭selinux,关闭iptables

关闭系统不必要的服务:关闭selinux,关闭iptables:关闭ctrl+alt+del重启:设置ssh端口,关闭DNS解析:设置系统最大文件描述符:设置系统关键文件权限:配置安装ntp:安装vim:配置安装阿里云yum源和epel源: #!/bin/bash #written by [email protected] #system optimization script #The fllow apply to CentOS 6.x . /etc/init.d/functions func

针对Red Hat Enterprise Linux 6.5 的防火墙详细讲解,iptables(netfilter)规则的

防火墙基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或网络层防火墙).基于Linux内核编码实现,具有非常稳定的性能和高效率,因此获得广泛使用. 在Linux系统中,netfilter和iptables都用来指Linux防火墙. netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"(Kernel Space,又称为内核空间)的防火墙功能体系. iptables:指的是