配置要求:
一、web伺服器只開放以下埠,其它的都拒絕:
ssh:22
apache:80
ftp:20-21
ftp埠範圍:9000-9045
二、web伺服器能訪問所有型別外網
#以下規則測試成功,注釋大力認為是這樣的,不一定正確
*filter
:input accept [0:0]
:forward accept [0:0]
:output accept [0:0]
#允許回環,就是本機的程序有的要自己訪問自己,否則伺服器上很多程序都會跑不起來
如:netstat -an後,你可以看到
tcp 0 0 0.0.0.0:1024 0.0.0.0:* listen
tcp 0 0 127.0.0.1:1025 0.0.0.0:* listen
回環請參考
-a input -i lo -j accept
#允許192.168.139.66訪問伺服器的22埠
-a input -s 192.168.139.66 -p tcp -m tcp --dport 22 -j accept
#開啟伺服器的9000-9045埠
-a input -p tcp -m tcp --dport 9000:9045 -j accept
#開啟伺服器的20\21\80埠,-m multiport --dports可以指定多個埠
-a input -p tcp -m multiport --dports 20,21,80 -j accept
#允許連線出去後對方主機回應進來的封包(就是伺服器請求外網後,要讓請求外網的那部分資料流進來,否則伺服器上打不開外網**)。
-a input -m state --state related,established -j accept
#允許icmp/ping
-a input -p icmp -j accept
#當資料報沒有被規則列表裡的任何規則匹配到時,按此預設規則處理
-p input drop
-p forward drop
iptables 生產規則
bin bash etc init.d iptables stop iptables a input p tcp dport 80 j accept iptables a input p tcp dport 21 j accept iptables a input s 192.168.17.0 24...
IPTABLES 清空規則
iptables f 然後重新啟用的話 bin iptables.sh root ctc wh 1 176 iptables l chain input policy accept target prot opt source destination chain forward policy acc...
iptables 規則速查
iptables的命令規則速查,沒有為了方便 iptables a input p tcp dport 22 j ulog ulog nlgroup 2 iptables a input p tcp dport 22 j ulog ulog prefix ssh connection attempt...