首页 > 代码库 > 史上最强防火墙iptables
史上最强防火墙iptables
#1.清空所有的防火墙规则
iptables -F
iptables -X
iptables -Z
iptables -t NAT -F
iptables -t NAT -X
iptables -t mangle -F
iptables -t mangel -X
#2.加载防火墙所需要的模块 lsmod |grep -E "nat|filter"
modprobe nf_nat_pptp
modprobe nf_nat_proto_gre
modprobe nf_conntrack_pptp
modprobe nf_nat_ftp
modprobe nf_conntrack_ftp
modprobe iptable_filter
modprobe iptable_nat
modprobe nf_nat_ipv4
modprobe nf_nat
modprobe nf_conntrack
#3.设置回环接口的规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
#4.设置默认的规则
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
#5.设置跨机房网段允许访问
#①办公室固定的IP
iptables -A INPUT -p all -s 124.43.62.96/27 -j ACCEPT
#②IDC机房内的网段
iptables -A INPUT -p all -s 124.43.62.96/27 -j ACCEPT
#③IDC其他机房的内网网段
iptables -A INPUT -p all -s 124.43.62.96/27 -j ACCEPT
#④IDC机房的外网网段
iptables -A INPUT -p all -s 124.43.62.96/27 -j ACCEPT
#⑤其他IDC机房的外网网段
iptables -A INPUT -p all -s 124.43.62.96/27 -j ACCEPT
#6.开启业务的端口号
iptables -A INPUT -p tcp --deport 80 -j ACCEPT
iptables -A INPUT -p tcp --deport 22 -j ACCEPT
#7.设置是否禁ping或者允许ping
#①全部对外开放
iptables -A INPUT -p icmp -m icmp icmp-type any -j ACCEPT
#②只对内开放
iptable -A INPUT -p icmp -s 10.0.0.0/24 -m icmp icmp-type any -j ACCEPT
#8.设置已经建立链接的包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#9 设置允许哪个网段ssh链接服务器一般不用
iptables -A INPUT -p tcp --deport 22 -s 10.0.0.0/24 -j ACCEPT
#10 封IP,要放在最上面所以用-I
iptables -I INPUT -p tcp -s 10.0.0.8 -j DROP
#或者
iptables -I INPUT -p tcp -s 10.0.0.8 --deport 80 -j DROP
#11.内网上网
#⑤.适合固定外网的IP etho 为外网网卡#匹配规则
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8
#②.适合ADSl拨号的IP伪装
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
#12.端口转发 进入10.0.0.5 1723端口 转发内网服务器到192.168.0.39:1723
iptables -t nat -A PREROUTING -d 10.0.0.5 -p tcp --dport 1723 -j DNAT --to 192.168.0.39:1723
本文出自 “砖家博客” 博客,转载请与作者联系!
史上最强防火墙iptables