设置默认规则
1 | iptables -P INPUT ACCEPT |
INPUT
允许已建立的或相关连接的通行,即允许我发出去的数据包入站
1
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
允许80(HTTP)/443(HTTPS)
1
iptables -A INPUT -p tcp -m state --state NEW -m multiport --dports 80,143 -m comment --comment HTTP -j ACCEPT
允许访问
NTP
服务1
iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT
允许访问
DNS
服务1
2iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT允许回环网卡
1
iptables -A INPUT -i lo -j ACCEPT
允许
SSH
端口的连接,脚本自动侦测目前的SSH
端口,否则默认为22端口1
2
3
4
5
6if grep "^Port" /etc/ssh/sshd_config>/dev/null;then
sshdport=`grep "^Port" /etc/ssh/sshd_config | sed "s/Port\s//g" `
else
sshdport=22
fi
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED -m tcp --dport ${sshdport} -m comment --comment SSH -j ACCEPT允许被ping
1
iptables -A INPUT -p icmp -j ACCEPT
拒绝所有并且发送一条
Destination Host Prohibited
的消息给被拒绝的主机1
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibite
OUTPUT
允许已建立的或相关连接的通行
1
iptables -I OUTPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
允许回环网卡
1
iptables -A OUTPUT -o lo -j ACCEPT
允许机器可以进行
DNS
查询1
iptables -A OUTPUT -p udp -m udp -j ACCEPT
默认规则和保存
1 | iptables -Z; iptables-save > /etc/sysconfig/iptables |
脚本
1 |
|
打赏