25個常用的Linux iptables規則
作者:佚名
這篇文章主要分享一些常用的 Linux iptables 規則,請根據自己的具體需要再修改。
一些常用的 Linux iptables 規則,請根據自己的具體需要再修改。
# 1. 刪除所有現有規則
- iptables -F
# 2. 設置默認的 chain 策略
- iptables -P INPUT DROP
- iptables -P FORWARD DROP
- iptables -P OUTPUT DROP
# 3. 阻止某個特定的 IP 地址
- #BLOCK_THIS_IP="x.x.x.x"
- #iptables -A INPUT -s "$BLOCK_THIS_IP" -j DRO
# 4. 允許全部進來的(incoming)SSH
- iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 5. 只允許某個特定網絡進來的 SSH
- #iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 6. 允許進來的(incoming)HTTP
- iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# 7. 多端口(允許進來的 SSH、HTTP 和 HTTPS)
- iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
# 8. 允許出去的(outgoing)SSH
- iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 9. 允許外出的(outgoing)SSH,但僅訪問某個特定的網絡
- #iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 10. 允許外出的(outgoing) HTTPS
- iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
# 11. 對進來的 HTTPS 流量做負載均衡
- #iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
- #iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
- #iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443
# 12. 從內部向外部 Ping
- iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# 13. 從外部向內部 Ping
- iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
- iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
# 14. 允許環回(loopback)訪問
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A OUTPUT -o lo -j ACCEPT
# 15. 允許 packets 從內網訪問外網
- # if eth1 is connected to external network (internet)
- # if eth0 is connected to internal network (192.168.1.x)
- iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
# 16. 允許外出的 DNS
- iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
- iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
# 17. 允許 NIS 連接
- # rpcinfo -p | grep ypbind ; This port is 853 and 850
- #iptables -A INPUT -p tcp --dport 111 -j ACCEPT
- #iptables -A INPUT -p udp --dport 111 -j ACCEPT
- #iptables -A INPUT -p tcp --dport 853 -j ACCEPT
- #iptables -A INPUT -p udp --dport 853 -j ACCEPT
- #iptables -A INPUT -p tcp --dport 850 -j ACCEPT
- #iptables -A INPUT -p udp --dport 850 -j ACCEPT
# 18. 允許某個特定網絡 rsync 進入本機
- #iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
# 19. 僅允許來自某個特定網絡的 MySQL 的鏈接
- #iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
# 20. 允許 Sendmail 或 Postfix
- iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
# 21. 允許 IMAP 和 IMAPS
- #iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
- #iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
# 22. 允許 POP3 和 POP3S
- #iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
- #iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
# 23. 防止 DoS 攻擊
- iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
# 24. 設置 422 端口轉發到 22 端口
- #iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22
- #iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
- #iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT
# 25. 為丟棄的包做日志(Log)
- iptables -N LOGGING
- iptables -A INPUT -j LOGGING
- iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
- iptables -A LOGGING -j DROP
責任編輯:龐桂玉
來源:
數據庫開發
