CentOS 6.x 配置iptables

#同意已经创制的链接继续畅通
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

#允许http访问服务器,已经存在的链接不断开
iptables -A INPUT -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j
ACCEPT

iptables -A INPUT -p tcp –dport 80 -m recent –name BAD_HTTP_ACCESS –update –seconds 60 –hitcount 20 -j REJECT 
iptables -A INPUT -p tcp –dport 80 -m recent –name BAD_HTTP_ACCESS,ACCESS –set -j ACCEPT

#清空iptables 规则
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp –syn -m limit –limit 12/s –limit-burst 24 -j ACCEPT

#iptables -I INPUT -s 192.168.0.1 -j DROP #遮掩单个IP的授命

#添加黑名单方法

#iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT

iptables -A INPUT -s 192.168.7.2 -p tcp -m multiport –dports 20,21 -m
state –state NEW -j ACCEPT
iptables -A INPUT -s 192.168.7.2 -p tcp -m state –state NEW -m tcp
–dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.7.2 -p tcp -m tcp –dport 30001:31000 -j
ACCEPT

#允许本机访问本机
iptables -A INPUT -i lo -j ACCEPT

#iptables -I INPUT -s 192.168.1.0/24 -j DROP
#封IP段即从192.168.1.0到192.168.1.254的命令

#制止各样攻击
iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT

iptables -P INPUT DROP—设置INPUT链暗许规则为撤销全数流量
iptbales有四表五链,raw,mangle,nat,filter(默许)表;五链:INPUT,OUTPUT,FO君越WA昂CoraD,PREROUTING,POSTROUTING

#设置OUTPUT链暗许允许
iptables -P OUTPUT ACCEPT

vim iptables.sh
拷贝一下内容,具体按实际生产要求修改,此脚本暗中认可舍弃INPUT流量,放行OUTPUT链流量,废弃FO揽胜WAWranglerD流量;

#安装INPUT链暗中同意放弃
iptables -P INPUT DROP

#允许https通行
iptables -A INPUT -p tcp –dport 443 -j ACCEPT

#!/bin/bash

#同意本机访问192.168.7.2的ftp服务器

#保存iptables
service iptables save 或者用iptables-save > /etc/sysconfig/iptables
chkconfig iptables on ——添加开机运转
service iptables restart——重启iptables服务,其实不须要重启立时生效
留神:若是在生养上ssh端口不是暗许的22,会促成执行了此脚本后不能连接服务器,为了防备此类事情爆发,能够定期执行3个本子撤废iptables运转
crontab -e
/10 * /etc/init.d/iptables stop——每十分钟实施截止iptables服务
翻看iptables记录消息
ACCESS 1
日记新闻查阅
more /proc/net/nf_conntrack

#设置暗中同意甩掉FO帕杰罗WAHighlanderD链
iptables -P FORWARD DROP

#允许ping

#同意172.16.20.0 192.168.2.0/24 ssh访问进来
iptables -A INPUT -s 172.16.20.0/24 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -p tcp –dport 22 -j ACCEPT

相关文章