CentOS 6.5配置iptables防火墙策略

前端之家收集整理的这篇文章主要介绍了CentOS 6.5配置iptables防火墙策略前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

--###############配置filter表防火墙###############

#清除预设表filter中的所有规则链的规则
iptables-F
#清除预设表filter中使用者自定链中的规则
iptables-X
#保存iptables配置
serviceiptablessave
#重启iptables服务
serviceiptablesrestart
#查看iptables规则
iptables-L-n
#查看iptables规则文件
cat/etc/sysconfig/iptables
#设定预设规则
iptables-PINPUTDROP
iptables-POUTPUTACCEPT
iptables-PFORWARDDROP
#开启22端口
iptables-AINPUT-ptcp--dport22-jACCEPT
#如果OUTPUT设置成DROP需要添加iptables-AOUTPUT-ptcp--sport22-jACCEPT
#关闭22端口iptables-DINPUT-ptcp--dport22-jACCEPT
#开启常用端口
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport3306-jACCEPT
#iptables-AOUTPUT-ptcp--sport80-jACCEPT
#iptables-AOUTPUT-ptcp--sport3306-jACCEPT
#iptables-AINPUT-ptcp--dport20-jACCEPT
#iptables-AINPUT-ptcp--dport21-jACCEPT
#iptables-AINPUT-ptcp--dport10000-jACCEPT
#iptables-AINPUT-ptcp--dport25-jACCEPT
#iptables-AINPUT-ptcp--dport110-jACCEPT
#iptables-AINPUT-pudp--dport53-jACCEPT
#允许ping
iptables-AINPUT-picmp-jACCEPT
#如果OUTPUT设置成DROP需要添加iptables-AOUTPUT-picmp-jACCEPT
#允许loopback
iptables-AINPUT-ilo-pall-jACCEPT
#如果OUTPUT设置成DROP需要添加iptables-AOUTPUT-olo-pall-jACCEPT
#屏蔽指定ip
#iptables-AINPUT-ptcp-s192.168.10.1-jDROP
#减少不安全的端口连接
#iptables-AOUTPUT-ptcp--sport31337-jDROP
#iptables-AOUTPUT-ptcp--dport31337-jDROP
#允许某个IP远程连接
#iptables-AINPUT-s192.168.10.1-ptcp--dport22-jACCEPT
#允许某个网段的IP远程连接
iptables-AINPUT-s192.168.10.0/24-ptcp--dport22-jACCEPT
#允许指定网段通过、指定网口通过SSH连接本机
#iptables-AINPUT-ieth0-ptcp-s192.168.10.0/24--dport22-mstate--stateNEW,ESTABLESHED-jACCEPT
#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT
#iptables-AINPUT-ieth0-ptcp-s192.168.10.0/24--dport22-mstate--stateESTABLESHED-jACCEPT
#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateNEW,ESTABLISHED-jACCEPT
#开启转发功能
#iptables-AFORWARD-ieth0-oeth1-mstate--stateRELATED,ESTABLISHED-jACCEPT
#iptables-AFORWARD-ieth1-oeh0-jACCEPT
#丢弃坏的TCP包
#iptables-AFORWARD-pTCP!--syn-mstate--stateNEW-jDROP
#处理IP碎片数量,防止攻击,允许每秒100个
#iptables-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT
#设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
#iptables-AFORWARD-picmp-mlimit--limit1/s--limit-burst10-jACCEPT
#丢弃非法连接
iptables-AINPUT-mstate--stateINVALID-jDROP
iptables-AOUTPUT-mstate--stateINVALID-jDROP
iptables-AFORWARD-mstate--stateINVALID-jDROP
#允许所有已经建立的和相关的连接
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AOUTPUT-mstate--stateESTABLISHED,RELATED-jACCEPT


--###############配置NAT表防火墙###############

#查看NAT表规则
iptables-tnat-L
#清除NAT规则
iptables-F-tnat
iptables-X-tnat
iptables-Z-tnat
#防止外网用内网IP欺骗
#iptables-tnat-APREROUTING-ieth0-s10.0.0.0/8-jDROP
#iptables-tnat-APREROUTING-ieth0-s172.16.0.0/12-jDROP
#iptables-tnat-APREROUTING-ieth0-s192.168.0.0/16-jDROP
#禁止与某个IP的所有连接
#iptables-tnat-APREROUTING-d192.168.10.1-jDROP
#禁用80端口
#iptables-tnat-APREROUTING-ptcp--dport80-jDROP
#禁用某个IP的80端口
#iptables-tnat-APREROUTING-ptcp--dport21-d192.168.10.1-jDROP


--###############保存iptables文件,重启服务###############

#保存iptables规则
serviceiptablessave
#重启iptables服务
serviceiptablesrestart

猜你在找的CentOS相关文章