linux一些常用iptables防火墙规则整理收集

安装iptables防火墙

如果没有安装iptables需要先安装,CentOS执行:

yum install iptables
Debian/Ubuntu执行:

apt-get install iptables

清除已有iptables规则

iptables -F
iptables -X
iptables -Z

开放指定的端口

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话,规则也类似,稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT  (注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT

屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

#外网 eth0 ──ip为自动获取
#内网 eth1 ──ip 172.16.0.0/16

#!/bin/sh
#
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

#INPUT

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许内网samba(能和windows文件共享通信的一个linux协,不必的不要打开),smtp,pop3,需要imap等协议的,请自行添加相应端口
iptables -A INPUT -p tcp -m multiport --dports 110,80,25,445,1863,5222 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.0.0/16 --dport 139 -j ACCEPT

#允许dns解析通过,如果内网设置了DNS服务器(转发器),那只允许转发器那个IP能过,请自行修改,(-s ip)
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT

#允许外网vpn连接(企业用户有VPN的话,需要打开)
#iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
#iptables -A INPUT -p gre -j ACCEPT

iptables -A INPUT -s 172.16.0.0/16 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#只允许最多20个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

#允许最多20个初始连接,超过的丢弃
iptables -A INPUT -s 172.16.0/16 -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

#禁止icmp通信-ping 建议测试时不要打开
#iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
#iptables -A INPUT -p icmp -j DROP

#内网转发
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

#防止SYN攻击 轻量
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

#FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 172.16.0.0/16 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 172.16.0/16 --dport 53 -j ACCEPT

#允许 vpn客户走vpn网络连接外网(网吧一般不必开,企业有VPN的需要打开)
#iptables -A FORWARD -p gre -s 172.16.0.0/16 -j ACCEPT
#iptables -A FORWARD -p icmp -s 172.16.0.0/16 -j ACCEPT

#以下是禁QQ的,在网吧的话不要去掉前面的#
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
#iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
#iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
#iptables -I FORWARD -s 172.16.0.0/16 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq网页
#iptables -I FORWARD -s 172.16.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ网页

#以下禁止一些多站,能配合内网自建的DNS服务器提供错误的IP地址一起使用
iptables -I FORWARD -s 172.16.0.0/16 -m string --string "xxx.com" -j DROP
iptables -I FORWARD -s 172.16.0.0/16 -m string --string "成人" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "广告" -j DROP
#以上禁止一些网站,开销相对有点大

#以下一段禁止BT,需要有ipp2p的模块
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接

#以下是对并发连接进行控制
#只允许每组ip同时20个80端口转发
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 16 -j DROP

#以下打开转发 在redhat中,能修改 /etc/sysconfig/sysctl 文件
sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#以下打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#设置默认 TCP 连接痴呆时长为 3800 秒(此选项能大大降低连接数)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null

查看已添加的iptables规则

iptables -L -n
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M) vps侦探
n:只显示IP地址和端口号,不将ip解析为域名

删除已添加的iptables规则

将所有iptables以序号标记显示,执行:

iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:

iptables -D INPUT 8

时间: 2024-10-26 16:44:54

linux一些常用iptables防火墙规则整理收集的相关文章

Ubuntu中保存iptables防火墙规则的例子

 buntu下保存iptables规则并开机自动加载的方法: Saving iptables 保存设置 机器重启后,iptables中的配置信息会被清空.您可以将这些配置保存下来,让iptables在启动时自动加载,省得每次都得重新输入.iptables-save和iptables-restore 是用来保存和恢复设置的. Configuration onstartup 开机自动加载配置 先将防火墙规则保存到/etc/iptables.up.rules文件中 # iptables-save >

iptables防火墙规则导致端口不通的案例分析

iptables防火墙规则导致端口不通的案例分析 问题现象: 一台服务器的8080端口访问不通,但其他端口正常,例如ssh的22端口,ping也正常. 从其他机器上进行telnet连接8080端口测试,显示是下边这个结果. [root@iZ25a9b7bpcZ ~]# telnet xx.xx.xx.xx 8080 Trying xx.xx.xx.xx... telnet: connect to address xx.xx.xx.xx: No route to host 从telnet测试的结果

修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题_FTP服务器

iptables里面仅仅开放了80.21等常用端口,这样就导致了vsFTPd在被动模式时无法使用随机端口,从而造成了客户端连接FTP时无法列出目录这样的问题.解决方式很简单,给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables.具体做法如下: 1.修改/etc/vsftpd/vsftpd.conf的配置文件,在文件末端添加: 复制代码 代码如下: pasv_max_port=6666pasv_min_port=5555/etc/init.d/vsftpd restart 2

linux增加iptables防火墙规则的示例_Linux

以下是我的iptables设置 复制代码 代码如下:  *filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [49061:9992130]-A INPUT -i lo -j ACCEPT   不开启会有很多服务无法使用,开启回环地址-A INPUT -p icmp -j ACCEPT   允许icmp包通过,也就是允许别人ping自己-A INPUT -m state --state RELATED,ESTABLISHED -j

linux中常用 shell 命令组合 整理

//把20140321_files.txt文件中每行路径中文件的内容 action 改为 action_begin, sed -i "s/action/action_begin/g" `cat 20140321_files.txt` //把 20140321_files.txt 中的文件内容  tags  替换为 tags.php sed -i "s/tags/tags.php/g" `ls 20140321_files.txt` //遍历循环20140321_fi

CentOS 上 iptables 防火墙的基本应用

iptables是Linux上常用的防火墙软件之一,在安装LNMP后.只要重启机器后,会发现Web站点打不开,这样很大程度是因为 iptable引起的.下面为大家列一些常的设置. 安装 iptables 防火墙 如果没有安装iptables的话需要先安装,在CentOS下执行: yum install iptables 清除已经有的防火墙规则 iptables -F iptables -X iptables -Z 开放指定端口 #允许本地回环接口(即运行本机访问本机) iptables -A I

利用CentOS系统IPtables防火墙添加360网站卫士节点IP白名单

伴随着百度与加速乐合作的分离,百度也相继推出了自己的加速产品:百度云加速,不过,对于广大的站长们来说,百度云加速免费版本提供的节点太少了,而且在流量.DDoS防御上面做了一定的限制,以下为百度云加速名个套餐价格的对比: 相信,看了以上的数据,免费的百度云加速感觉有一些像鸡肋,相比之下,360网站卫士在这方面可能做得更好一些,360网站卫士是集网站防护.加速.运营为一体的一站式http://www.aliyun.com/zixun/aggregation/13744.html">管理服务平台

linux系统防火墙iptables命令规则及配置

防火墙概述: 在互联网上我们的主机随时都有被攻击的可能,因此我们需要用到防火墙机制来保护我们互联网上的主机,在我们主机上面,防火墙主要是通过一些规则来限制一些不安全因素的网络信息传输,准确的说,防火墙就是制定一些有顺序的规则,来管理所负责的范围内的主机数据封包的一种机制,通过防火墙我们能够分析和过滤进出主机或者网络的封包数据,从而将一些不安全因素的包隔离开. iptables与netfilter: Linux上的防火墙是由iptables/netfilter组成,iptables是基于netfi

linux系统防火墙iptables命令规则及配置的示例

linux系统防火墙iptables命令规则及配置的示例(本机IP为172.16.63.7): 1.允许172.16网段内的主机访问: #iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.63.7 -j ACCEPT 译:-t表,默认filter -A追加规则 INPUT进入 -s检查源 -d检查目标 -j处理动作 ACCEPT接受:入栈的目标是本机所以-d是本机IP: 2.以数值格式显示详细信息,列出表中链上的规则: #iptable