阅读

iptables配置模版

linux  2018-05-16 10:50

1、

iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 8888 --syn -j NOTRACK
iptables -A INPUT -i eth0 -p tcp --dport 8888 -m state --state UNTRACKED,INVALID -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

2、

-s 源地址

--sport 源端口

-d 目标地址

--dport 目标端口

3、

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 45000:50000 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
# ntpdate 1.asia.pool.ntp.org
-A OUTPUT -p udp --dport 123 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -d 121.10.139.19 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 20 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 80 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 3306 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -p tcp --sport 45000:50000 -j ACCEPT
-A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
-A OUTPUT -p tcp -d 203.124.14.0/24 -j ACCEPT
-A OUTPUT -m tcp -p tcp -d 121.10.139.19 --dport 3306 -j ACCEPT
-A INPUT -p tcp ! -d 127.0.0.1 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
-A OUTPUT -p tcp ! -d 127.0.0.1 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j DROP
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j DROP
COMMIT


友情链接: