iptabels 的一些配置
2016-05-31 18:12
309 查看
iptables -L -n
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#允许包从22端口进入
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许从22端口进入的包返回
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#DNS 53 端口
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#允许所有IP访问80端口
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#允许所有IP访问MYSQL 3306端口
iptables -A INPUT -p tcp -s 0/0 --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
#MFS开放端口 9425 9421 9419 端口
iptables -A INPUT -p tcp -s 0/0 --dport 9425 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9425 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9421 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9421 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9419 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9419 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9420 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9420 -m state --state ESTABLISHED -j ACCEPT
#本地的访问 环口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#ICMP 禁止
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
iptables -n -L
------------------------------------------------------------------------
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
这是为了防止ping洪水攻击,限制每秒的ping包不超过10个
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了
-------------------------------------------------------------------------
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#允许包从22端口进入
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许从22端口进入的包返回
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#DNS 53 端口
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#允许所有IP访问80端口
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
#允许所有IP访问MYSQL 3306端口
iptables -A INPUT -p tcp -s 0/0 --dport 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
#MFS开放端口 9425 9421 9419 端口
iptables -A INPUT -p tcp -s 0/0 --dport 9425 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9425 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9421 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9421 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9419 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9419 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 9420 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9420 -m state --state ESTABLISHED -j ACCEPT
#本地的访问 环口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#ICMP 禁止
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
iptables -n -L
------------------------------------------------------------------------
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT
上面的命令每秒钟最多允许100个新连接,请注意这里的新连接指的是state为New的数据包,在后面我们也配置了允许状态为ESTABLISHED和RELATED的数据通过;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s –limit-burst 10 -j ACCEPT
这是为了防止ping洪水攻击,限制每秒的ping包不超过10个
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
上面的命令防止各种端口扫描,将SYN及ACK SYN限制为每秒钟不超过200个,免得把数务器带宽耗尽了
-------------------------------------------------------------------------
相关文章推荐
- 甘特图首选解决方案-世界级甘特图控件(XGANTT) - XGantt甘特图中文官方网站
- 输出树的单层节点
- 重新发现物理之美(三)
- fastjson生成和解析json数据,序列化和反序列化数据
- L3-003. 社交集群
- 负载均衡 LVS+Keepalived
- 在利用ContextMenu处理长按事件时如何找到当前View的问题
- 最长单词
- Dockerfile
- myBatis3之SQL映射的XML文件(insert,update,delete 元素)
- FreeBSD 系统的配置.
- jersey 通过json方式实现增删改查
- 复选框css
- linux定时任务
- Swift-扩展(Extensions)(十八)
- 第14周实践项目2(1)——两个成员的类模板
- Android activity详细解释
- excel向列数据中添加前缀
- Webx3 FrameWork 教程
- Extjs甘特图|功能最强大的Web甘特图 - 项目管理软件和MES系统专家