iptables规则初始化
iptables目录
/etc/sysconfig
iptables初始化规则
在windows利用Notepad++ 工具粘贴下列文本
注意:编码转换 使用ANSI 另存为iptables.sh
保存类型为Unix script file
文件传送至centos目录/etc/sysconfig 里面
在执行命令:
#进入目录:cd /etc/sysconfig
#给上传的文件换行由windows设置为centos的换行符: sed -i 's/\r$//' iptables.sh
sed -i 's/\r$//' syn.sh
#赋予权限命令:chmod a+x iptables.sh
chmod a+x syn.sh
./syn.sh
#运行脚本(两个都可以):
./iptables.sh
source iptables.sh
#保存防火墙命令:service iptables save
#重启防火墙命令:service iptables restart
#查看防火墙规则:iptables -nL
#停止防火墙命令:service iptables stop
#!/bin/bash
iptables -F -t nat
iptables -F -t mangle
iptables -F -t security
iptables -F -t raw
iptables -F -t filter
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
service iptables save
service iptables restart
iptables -nL
echo ok
参数解释
# Generated by iptables-save v1.4.21 on Mon Sep 5 12:24:33 2022
*filter
:INPUT ACCEPT [0:0]
# 该规则表示INPUT表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [16:1056]
# 该规则表示OUTPUT表默认策略是ACCEPT #开放16-1056范围的端口
# 允许我发出去的数据包入站。已经建立tcp连接的包以及该连接相关的包允许通过
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许ICMP协议
iptables -A INPUT -p icmp -j ACCEPT
# -i 参数是指定接口,这里的接口是lo ,lo就是Loopback(本地环回接口),意思就允许本地环回接口在INPUT表的所有数据通信。
iptables -A INPUT -i lo -j ACCEPT
#开放端口22的ssh
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#屏蔽了nmap探测的icmp回应
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
#ip全部端口白名单
iptables -A INPUT -s 119.29.32.126/32 -j ACCEPT
iptables -A INPUT -s 120.80.0.0/13 -j ACCEPT
iptables -A INPUT -s 112.96.0.0/15 -j ACCEPT
# 在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Sep 5 12:24:33 2022
共有 0 条评论