1.查看iptables中已经设置好的规则
sudo iptabes -L -n
2.清除现有的规则
sudo iptables -F 清除预设表filter中所有规则链的规则
sudo iptabels -X 清除预设表filter中使用者自定链中的规则
3.设定预设规则
sudo iptables -P INPUT DROP //不在里面的不通过(drop)
sudo iptables -P OUTPUT ACCEPT //不在里面的通过(accept)
sudo iptables -P FORWARD DROP
注释:
在iptables里filter表里:
不在这两个链规则(INPUT,FORWARD)的数据包就DROP(放弃)。可以说这样的配置是很安全的。
而对于OUTPUT链,也就是流出的数据包我们不用做太多的限制,而是采取ACCEPT,也就是说,不在这
个规则里的数据包就通过。
4.添加规则
如果要远程SSH登录,开启22端口
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
如果做了WEB服务器,开启80端口
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做邮件服务器,开启25,110端口
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT
sudo iptables -A INPUT -P TCP --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果允许icmp包通过,也就是ping
sudo iptables -A OUTPUT -p icmp -j ACCEPT(OUTPUT设置成DROP的话)
sudo iptables -A INPUT -p icmp -j ACCEPT(INPUT设置成DROP的话)
下面写OUTPUT链,默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链。
减少不安全的端口连接
sudo iptables -A OUTPUT -p tcp --sport 31337 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 31337 -j DROP
5.设置只允许IP为192.168.1.117的机器进行SSH链接
sudo iptables -A INPUT -s 192.168.1.117 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.1.0/24 表示192.168.1.1-255所有IP但要把iptables里的这一行删了 -A INPUT -p tcp --dport 22 -j ACCEPT 它表示所有地址都可以登录
或采用命令方式:
sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT 重启之后无效
6. FORWARD链的默认规则是DROP
对正在转发链的监控
开启转发功能(在做NAT时,FORWARD默认规则是DROP ,必须的)
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eh1 -o eth0 -j ACCEPT
丢弃坏的TCP包
sudo iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
sudo iptables -A FORWARD -f -m limit --limit 100/s -- limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包。
sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
You must be logged in to post a comment.
这个不错额
博主的空间哪里的,瞬间打开……