CentOS6.5開放埠,配置防火牆

  • 2019 年 12 月 6 日
  • 筆記

#清除預設表filter中的所有規則鏈的規則 iptables -F #清除預設表filter中使用者自定鏈中的規則 iptables -X #保存iptables配置 service iptables save #重啟iptables服務 service iptables restart #查看iptables規則 iptables -L -n #查看iptables規則文件 cat /etc/sysconfig/iptables #設定預設規則 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #開啟22埠 iptables -A INPUT -p tcp –dport 22 -j ACCEPT #如果OUTPUT設置成DROP需要添加 iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT #關閉22埠 iptables -D INPUT -p tcp –dport 22 -j ACCEPT #開啟常用埠 iptables -A INPUT -p tcp –dport 80 -j ACCEPT iptables -A INPUT -p tcp –dport 3306 -j ACCEPT #iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT #iptables -A OUTPUT -p tcp –sport 3306 -j ACCEPT #iptables -A INPUT -p tcp –dport 20 -j ACCEPT #iptables -A INPUT -p tcp –dport 21 -j ACCEPT #iptables -A INPUT -p tcp –dport 10000 -j ACCEPT #iptables -A INPUT -p tcp –dport 25 -j ACCEPT #iptables -A INPUT -p tcp –dport 110 -j ACCEPT #iptables -A INPUT -p udp –dport 53 -j ACCEPT #允許ping iptables -A INPUT -p icmp -j ACCEPT #如果OUTPUT設置成DROP需要添加 iptables -A OUTPUT -p icmp -j ACCEPT #允許loopback iptables -A INPUT -i lo -p all -j ACCEPT #如果OUTPUT設置成DROP需要添加 iptables -A OUTPUT -o lo -p all -j ACCEPT #屏蔽指定ip #iptables -A INPUT -p tcp -s 192.168.10.1 -j DROP #減少不安全的埠連接 #iptables -A OUTPUT -p tcp –sport 31337 -j DROP #iptables -A OUTPUT -p tcp –dport 31337 -j DROP #允許某個IP遠程連接 #iptables -A INPUT -s 192.168.10.1 -p tcp –dport 22 -j ACCEPT #允許某個網段的IP遠程連接 iptables -A INPUT -s 192.168.10.0/24 -p tcp –dport 22 -j ACCEPT #允許指定網段通過、指定網口通過SSH連接本機 #iptables -A INPUT -i eth0 -p tcp -s 192.168.10.0/24 –dport 22 -m state –state NEW,ESTABLESHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -p tcp -s 192.168.10.0/24 –dport 22 -m state –state ESTABLESHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state NEW,ESTABLISHED -j ACCEPT #開啟轉發功能 #iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT #iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT #丟棄壞的TCP包 #iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP #處理IP碎片數量,防止攻擊,允許每秒100個 #iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT #設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包 #iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT #丟棄非法連接 iptables -A INPUT -m state –state INVALID -j DROP iptables -A OUTPUT -m state –state INVALID -j DROP iptables -A FORWARD -m state –state INVALID -j DROP #允許所有已經建立的和相關的連接 iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ###############配置NAT表防火牆############### #查看NAT表規則 iptables -t nat -L #清除NAT規則 iptables -F -t nat iptables -X -t nat iptables -Z -t nat #防止外網用內網IP欺騙 #iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP #iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP #iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP #禁止與某個IP的所有連接 #iptables -t nat -A PREROUTING -d 192.168.10.1 -j DROP #禁用80埠 #iptables -t nat -A PREROUTING -p tcp –dport 80 -j DROP #禁用某個IP的80埠 #iptables -t nat -A PREROUTING -p tcp –dport 21 -d 192.168.10.1 -j DROP ###############保存iptables文件,重啟服務############### #保存iptables規則 service iptables save #重啟iptables服務 service iptables restart

查看開放埠  

[root@localhost ~]# /etc/init.d/iptables status

關閉防火牆  

[root@localhost ~]# /etc/init.d/iptables stop

VirMach 便宜 VPS

QNews

QNews