a8Fy37XzWf70G0yW
2022-11-08 09:53:55 +08:00
我把我自己所用的規則拿上來給 PO 主提供參考好了,是放在配置檔中的,不適用於命令形式輸入。
# 允許本地環回和 tailscale 適配器
-A INPUT -i lo -j ACCEPT
-A INPUT -i tailscale0 -j ACCEPT
# 允許伺服器主動發出的連線相關數據包進入
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# TCP 白名單 IP address
-A INPUT -p tcp -s 173.245.48.0/20 -j ACCEPT
-A INPUT -p tcp -s 103.21.244.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.22.200.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.31.4.0/22 -j ACCEPT
-A INPUT -p tcp -s 141.101.64.0/18 -j ACCEPT
-A INPUT -p tcp -s 108.162.192.0/18 -j ACCEPT
-A INPUT -p tcp -s 190.93.240.0/20 -j ACCEPT
-A INPUT -p tcp -s 188.114.96.0/20 -j ACCEPT
-A INPUT -p tcp -s 197.234.240.0/22 -j ACCEPT
-A INPUT -p tcp -s 198.41.128.0/17 -j ACCEPT
-A INPUT -p tcp -s 162.158.0.0/15 -j ACCEPT
-A INPUT -p tcp -s 104.16.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 104.24.0.0/14 -j ACCEPT
-A INPUT -p tcp -s 172.64.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 131.0.72.0/22 -j ACCEPT
# 不在白名單中的一律丟棄
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j DROP
# 禁止 udp traceroute
-A INPUT -p udp --dport 33434:33689 -j DROP
# 允許其他 udp 通過
-A INPUT -p udp -j ACCEPT
禁止 icmp 的 ping 、timestamp 、traceroute 等相關請求
-A INPUT -p icmp --icmp-type 8 -j DROP
-A INPUT -p icmp --icmp-type 11 -j DROP
-A INPUT -p icmp --icmp-type 13 -j DROP
-A INPUT -p icmp --icmp-type 14 -j DROP
-A INPUT -p icmp --icmp-type 30 -j DROP
-A INPUT -p icmp --icmp-type 42 -j DROP
-A INPUT -p icmp -j ACCEPT