V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bismall
V2EX  ›  问与答

大家一般怎么设置 iptables 规则?

  •  
  •   bismall · 2015-07-24 22:42:05 +08:00 · 2543 次点击
    这是一个创建于 3409 天前的主题,其中的信息可能已经有所发展或是发生改变。

    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A INPUT -p tcp -m multiport --destination-ports 22,80,443,53 -j ACCEPT
    iptables -A INPUT -p udp -m multiport --destination-ports 53 -j ACCEPT

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    service iptables save
    service iptables restart


    献丑了...

    6 条回复    2015-07-25 15:05:23 +08:00
    ryd994
        1
    ryd994  
       2015-07-25 00:03:46 +08:00
    都用firewalld了……
    都用firewalld了……
    都用firewalld了……

    善用comment
    没必要一个个判断state,连接多的时候判断state的开销还是很大的,开一个chain
    别全用multiport混到一起,增删的时候一手贱就悲剧了
    如果机房不靠谱的话不要drop而要reject with rst。有被伪造ip的可能。不过现在都不是光用ip做访问控制,而且机房也不至于干什么,所以没什么必要
    先flush的话,遇到默认drop的就悲剧了,属于坑自己
    还有你开53干嘛?等着被人用来放大么……

    :INPUT DROP [816146:72864161]
    :FORWARD ACCEPT [26032234:15223215841]
    :OUTPUT ACCEPT [63339381:62088561409]
    :new_input - [0:0]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -p esp -m comment --comment ipsec -j ACCEPT
    -A INPUT -p gre -m comment --comment pptp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -j new_input
    -A new_input -p tcp -m tcp --dport 22 -j ACCEPT
    -A new_input -p tcp -m tcp --dport 80 -j ACCEPT
    -A new_input -p tcp -m tcp --dport 1723 -m comment --comment pptp -j ACCEPT
    -A new_input -p udp -m udp --dport 60000:60005 -m comment --comment mosh -j ACCEPT
    -A new_input -p udp -m multiport --dports 500,1701,4500 -m comment --comment l2tp_ipsec -j ACCEPT
    -A new_input -p tcp -m tcp --dport 8388 -m comment --comment shadowsocks -j ACCEPT
    ETiV
        2
    ETiV  
       2015-07-25 01:19:32 +08:00 via iPhone
    默认policy千万别drop……

    四年被坑过三次,这回死活都长记性了
    echo1937
        3
    echo1937  
       2015-07-25 01:45:48 +08:00
    @ETiV 对这部分用的少.

    请问,默认policy为drop会有哪些危害?
    49
        4
    49  
       2015-07-25 09:06:55 +08:00
    @echo1937 一不小心SSH忘开,把自己封外面了,都封几次了,我这狗记性。。。还得SolusVM开VNC
    ETiV
        5
    ETiV  
       2015-07-25 13:09:14 +08:00 via iPhone
    @echo1937 如 @49 所讲……

    我头两次还是物理机,只能打电话给机房,叫他们清规则……
    bismall
        6
    bismall  
    OP
       2015-07-25 15:05:23 +08:00
    @ETiV shell
    vi iptables
    chmod +x iptables && sh iptables
    -----------------------------------------
    这样也中招?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2313 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:01 · PVG 00:01 · LAX 08:01 · JFK 11:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.