IPTABLES设置

IPTABLES设置

有几个有用的命令

iptables -Z

流量清零，这个可以监控防火墙流量拦截情况；

nload工具可以监测实时网络流量；

当OUTPUT规则设置为DROP时，需要将远程访问所需的DNS服务开启、不要设置INPUT端口好的DROP，针对OUTPUT设置端口号的限制；

对INPUT需要设置防DDOS、CC攻击；

设置规则的例子：

iptables -X 删除特定手工设置的链
iptables -Z 清空计数器
iptables -P INPUT DROP //默认INPUT规则 丢弃
iptables -P OUTPUT DROP //默认OUTPUT规则 丢弃
iptables -P FORWARD DROP //默认FORWARD规则 丢弃
iptables -A INPUT -d 192.168.10.250 -p tcp -m tcp --dport 22 -j ACCEPT //开SSH服务进站端口
iptables -A INPUT -d 192.168.10.250 -p tcp -m tcp --dport 80 -j ACCEPT //开WEB服务进站端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT //允许本地环回数据
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT  //来自远程DNS服务器53端口的数据包进站通过
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT  //进入本地服务器53端口的数据包进站通过
iptables -A INPUT -d 192.168.10.250 -p icmp -j ACCEPT //ICPM数据包可进入本地服务器

iptables -A OUTPUT -s 192.168.10.250 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT //对SSH的服务进入的数据包开启出站端口
iptables -A OUTPUT -s 192.168.10.250 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT //对WEB的服务进入的数据包开启出站端口
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT //允许本地环回数据
iptables -A OUTPUT -p udp -m udp --sport 53 -j ACCEPT  //从本地53端口出站的数据包出站通过
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT  //去往远程DNS服务器53端口的数据包出站通过
iptables -A OUTPUT -s 192.168.10.250 -p icmp -j ACCEPT //对对方ICMP数据包回应(ping命令回应数据包)
service iptables save //保存配置信息
service iptables start //开启防火墙服务

监控网络的工具，还可以使用iftop工具，这个更具体可以监控到各个端口的情况，一般说来，有nload就可以解决问题了。