大家一般怎么设置 iptables 规则?

2015-07-24 22:42:05 +08:00
 bismall

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m multiport --destination-ports 22,80,443,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --destination-ports 53 -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

service iptables save
service iptables restart

献丑了...

2501 次点击
所在节点    问与答
6 条回复
ryd994
2015-07-25 00:03:46 +08:00
都用firewalld了……
都用firewalld了……
都用firewalld了……

善用comment
没必要一个个判断state,连接多的时候判断state的开销还是很大的,开一个chain
别全用multiport混到一起,增删的时候一手贱就悲剧了
如果机房不靠谱的话不要drop而要reject with rst。有被伪造ip的可能。不过现在都不是光用ip做访问控制,而且机房也不至于干什么,所以没什么必要
先flush的话,遇到默认drop的就悲剧了,属于坑自己
还有你开53干嘛?等着被人用来放大么……

:INPUT DROP [816146:72864161]
:FORWARD ACCEPT [26032234:15223215841]
:OUTPUT ACCEPT [63339381:62088561409]
:new_input - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -m comment --comment ipsec -j ACCEPT
-A INPUT -p gre -m comment --comment pptp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -j new_input
-A new_input -p tcp -m tcp --dport 22 -j ACCEPT
-A new_input -p tcp -m tcp --dport 80 -j ACCEPT
-A new_input -p tcp -m tcp --dport 1723 -m comment --comment pptp -j ACCEPT
-A new_input -p udp -m udp --dport 60000:60005 -m comment --comment mosh -j ACCEPT
-A new_input -p udp -m multiport --dports 500,1701,4500 -m comment --comment l2tp_ipsec -j ACCEPT
-A new_input -p tcp -m tcp --dport 8388 -m comment --comment shadowsocks -j ACCEPT
ETiV
2015-07-25 01:19:32 +08:00
默认policy千万别drop……

四年被坑过三次,这回死活都长记性了
echo1937
2015-07-25 01:45:48 +08:00
@ETiV 对这部分用的少.

请问,默认policy为drop会有哪些危害?
49
2015-07-25 09:06:55 +08:00
@echo1937 一不小心SSH忘开,把自己封外面了,都封几次了,我这狗记性。。。还得SolusVM开VNC
ETiV
2015-07-25 13:09:14 +08:00
@echo1937 如 @49 所讲……

我头两次还是物理机,只能打电话给机房,叫他们清规则……
bismall
2015-07-25 15:05:23 +08:00
@ETiV shell
vi iptables
chmod +x iptables && sh iptables
-----------------------------------------
这样也中招?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/208160

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX