目前公司業務已大多遷移至內網使用或者使用雲主機,防火牆也漸漸不用了,在部落格上記錄一下,以免以後突然有用卻找不到模板了。此防火牆指令碼執行時預設清空舊的防火牆規則。
放行本地loop網絡卡,dns服務,ntf服務,ping服務,lvs(keepalive)服務,ftp服務,以及一些常用埠。
最後禁止所有未通過匹配規則的進入
防火牆#!/bin/bash
/sbin/iptables -f
###loop network###
/sbin/iptables -a input -i lo -j accept
/sbin/iptables -a output -o lo -j accept
/sbin/iptables -a input -s 127.0.0.0/8 -j accept
/sbin/iptables -a output -d 127.0.0.0/8 -j accept
##放行已經通過檢測規則的通訊###
/sbin/iptables -a input -p tcp -m state --state established,related -j accept
/sbin/iptables -a output -p tcp -m state --state established,related -j accept
###dns service###
/sbin/iptables -a input -p udp --sport 53 -j accept
/sbin/iptables -a output -p udp --dport 53 -j accept
/sbin/iptables -a input -p tcp --sport 53 -j accept
/sbin/iptables -a output -p tcp --dport 53 -j accept
###ntp service###
/sbin/iptables -a input -p udp --sport 123 -j accept
/sbin/iptables -a output -p udp --dport 123 -j accept
###ping remote hosts###
/sbin/iptables -a input -p icmp --icmp-type 0 -j accept
/sbin/iptables -a output -p icmp --icmp-type 8 -j accept
###lvs(keepalived) service###
/sbin/iptables -a input -p vrrp -j accept
/sbin/iptables -a output -p vrrp -j accept
/sbin/iptables -a input -s 224.0.0.0/8 -j accept
/sbin/iptables -a output -d 224.0.0.0/8 -j accept
###ftp###
/sbin/iptables -a input -p tcp --dport 20:21 -j accept
/sbin/iptables -a output -p tcp --sport 20:21 -j accept
/sbin/iptables -a input -p tcp --dport 31000:32000 -j accept
/sbin/iptables -a output -p tcp --sport 31000:32000 -j accept
#####放開埠與ip
/sbin/iptables -a input -p tcp --dport 22 -j accept
/sbin/iptables -a output -p tcp --sport 22 -j accept
/sbin/iptables -a input -p tcp --sport 22 -j accept
/sbin/iptables -a output -p tcp --dport 22 -j accept
/sbin/iptables -a input -p tcp --dport 80 -j accept
/sbin/iptables -a output -p tcp --sport 80 -j accept
/sbin/iptables -a input -p tcp --sport 80 -j accept
/sbin/iptables -a output -p tcp --dport 80 -j accept
/sbin/iptables -a input -p tcp --dport 10050 -j accept
/sbin/iptables -a output -p tcp --sport 10050 -j accept
/sbin/iptables -a input -p tcp --sport 10050 -j accept
/sbin/iptables -a output -p tcp --dport 10050 -j accept
/sbin/iptables -a input -p tcp --dport 443 -j accept
/sbin/iptables -a output -p tcp --sport 443 -j accept
/sbin/iptables -a input -p tcp --sport 443 -j accept
/sbin/iptables -a output -p tcp --dport 443 -j accept
/sbin/iptables -i input -s 192.168.0.0/16 -j accept
/sbin/iptables -i output -d 60.29.252.4 -j accept
##########drop##########
/sbin/iptables -a input -j drop
/sbin/iptables -a output -j drop
企業級防火牆iptables 介紹
iptables 以下簡稱iptables 是unix linux自帶的一款優秀且開放源 的完全自由的基於包過濾 對osi模型的四層或者是四層以下進行過濾 的防火牆工具,它的功能十分強大,使用非常靈活,可以對流入和流出伺服器的資料報進行很精細的控制。主要針對網路訪問 iptables 其實不是真正意...
在Linux系統下配置企業級防火牆
在linux系統下配置企業級防火牆 大概配置如圖所示 iptables的四表五鏈 四表 filter 和主機自身有關,主要負責過濾流入自己的資料報和自己流出的資料報,它是iptables預設的表。filter表在這3個檢查點進行檢查 input 負責過濾目標ip位址是自己本機的資料報 forward...
iptables 防火牆使用
刪除原有規則 1.iptables f 2.iptables x 3.iptables t nat f 4.iptables t nat x 5.iptables p input drop 阻止所有網路入包 6.iptables a input i eth0 j accept 接受所有網路 7.ip...