史上最强防火墙iptables

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了史上最强防火墙iptables相关的知识,希望对你有一定的参考价值。

#1.清空所有的防火墙规则

iptables -F

iptables -X

iptables -Z

iptables -t NAT -F

iptables -t NAT -X

iptables -t mangle -F

iptables -t mangel -X

#2.加载防火墙所需要的模块 lsmod |grep  -E  "nat|filter" 

modprobe nf_nat_pptp

modprobe nf_nat_proto_gre

modprobe nf_conntrack_pptp

modprobe nf_nat_ftp

modprobe nf_conntrack_ftp

modprobe iptable_filter

modprobe iptable_nat

modprobe nf_nat_ipv4

modprobe nf_nat

modprobe nf_conntrack

#3.设置回环接口的规则

iptables -A  INPUT -i lo  -j ACCEPT

iptables -A  OUTPUT -i lo  -j ACCEPT

#4.设置默认的规则

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -P INPUT DROP

#5.设置跨机房网段允许访问

#①办公室固定的IP

iptables -A  INPUT -p all  -s 124.43.62.96/27  -j ACCEPT 

#②IDC机房内的网段

iptables -A  INPUT -p all  -s 124.43.62.96/27  -j ACCEPT 

#③IDC其他机房的内网网段

iptables -A  INPUT -p all  -s 124.43.62.96/27  -j ACCEPT 

#④IDC机房的外网网段

iptables -A  INPUT -p all  -s 124.43.62.96/27  -j ACCEPT

#⑤其他IDC机房的外网网段

iptables -A  INPUT -p all  -s 124.43.62.96/27  -j ACCEPT  

#6.开启业务的端口号

iptables -A  INPUT -p tcp --deport 80 -j ACCEPT

iptables -A  INPUT -p tcp --deport 22 -j ACCEPT

#7.设置是否禁ping或者允许ping

#①全部对外开放

iptables -A  INPUT -p icmp -m icmp  icmp-type any -j ACCEPT

#②只对内开放

iptable  -A  INPUT -p icmp -s 10.0.0.0/24 -m  icmp icmp-type any -j ACCEPT

#8.设置已经建立链接的包通过

iptables -A  INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A  OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#9 设置允许哪个网段ssh链接服务器一般不用

iptables  -A  INPUT -p tcp  --deport 22  -s 10.0.0.0/24 -j ACCEPT

#10 封IP,要放在最上面所以用-I

iptables -I INPUT -p tcp -s 10.0.0.8 -j DROP

#或者

iptables -I INPUT -p tcp -s 10.0.0.8 --deport 80 -j DROP

#11.内网上网

#⑤.适合固定外网的IP etho 为外网网卡#匹配规则

iptables -t nat -A POSTROUTING -s 172.16.1.0/24  -o eth0  -j SNAT --to-source 10.0.0.8  

#②.适合ADSl拨号的IP伪装

iptables  -t  nat  -A  POSTROUTING  -s 172.16.1.0/24  -j  MASQUERADE 

#12.端口转发 进入10.0.0.5 1723端口 转发内网服务器到192.168.0.39:1723

iptables -t nat -A PREROUTING -d 10.0.0.5 -p tcp --dport 1723 -j DNAT --to 192.168.0.39:1723

技术分享

技术分享











本文出自 “砖家博客” 博客,转载请与作者联系!

以上是关于史上最强防火墙iptables的主要内容,如果未能解决你的问题,请参考以下文章

如何启用iptables 防火墙

启用iptables防火墙规则,修改哪个文件?

请教iptables防火墙的脚本问题。

iptables详解(11):iptables之网络防火墙

iptables详解:iptables概念

CentOS 7.2 里iptables防火墙怎么关闭