超级实用的 iptables 防火墙脚本

本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
简介:

本文档详细介绍生产环境中超级实用的iptables脚本。
创建 iptables.sh 脚本
[root@Jaking ~]# vim iptables.sh

!/bin/bash

清空 filter 表和 nat 表

iptables -F
iptables -t nat -F

关掉 firewalld

systemctl stop firewalld &>/dev/null
systemctl disable firewalld &>/dev/null

以下两行允许某些调用 localhost 的应用访问

iptables -A INPUT -i lo -j ACCEPT #规则1
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #规则2

以下一行允许从其他地方 ping

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #规则3

以下一行允许从其他主机、网络设备发送 MTU 调整的报文

在一些情况下,例如通过 IPSec VPN 隧道时,主机的 MTU 需要动态减小

iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #规则4

以下两行分别允许所有来源访问 TCP 80,443 端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #规则5
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #规则6

以下一行允许所有来源访问 UDP 80,443 端口

iptables -A INPUT -p udp -m multiport --dports 80,443 -j ACCEPT #规则7

以下一行允许 192.168.1.63 来源的 IP 访问 TCP 22 端口(OpenSSH)

iptables -A INPUT -p tcp -s 192.168.1.63 --dport 22 -j ACCEPT #规则8

以下一行允许 192.168.1.3(发起SSH连接的系统对应网卡的IP) 来源的 IP 访问 TCP 22 端口(OpenSSH)

如果是在远程终端跑本脚本,最好开启以下一行以防被踢掉

另一种更加简便的方式:iptables -I INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.1.3 --dport 22 -j ACCEPT #规则9

以下一行允许 192.168.1.26 来源的 IP 访问 UDP 161 端口(SNMP)

iptables -A INPUT -p udp -s 192.168.1.26 --dport 161 -j ACCEPT #规则10

配置 NAT

启用内核路由转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf
sysctl -p &>/dev/null

配置源地址转换 SNAT

将 192.168.2.0/24 转换成 192.168.1.63

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.1.63 #规则11

配置目的地址转换 DNAT

将 192.168.1.63 的 80 端口请求转发到 192.168.2.2 的 80 端口

iptables -t nat -A PREROUTING -d 192.168.1.63 -p tcp --dport 80 -j DNAT --to 192.168.2.2:80 #规则12

以下一行禁止所有其他的进入流量

iptables -A INPUT -j DROP #规则13

以下一行允许本机响应规则编号为 1-12 的数据包发出

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT #规则14

以下一行禁止本机主动发出外部连接

iptables -A OUTPUT -j DROP #规则15

以下一行禁止本机转发数据包

iptables -A FORWARD -j DROP #规则16

固化 iptables

iptables-save > /etc/sysconfig/iptables

[root@Jaking ~]# chmod 755 iptables.sh
测试
[root@Jaking ~]# ./iptables.sh
[root@Jaking ~]#
[root@Jaking ~]#
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- localhost localhost
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere multiport dports http,https
ACCEPT tcp -- 192.168.1.63 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:ssh
ACCEPT udp -- 192.168.1.26 anywhere udp dpt:snmp
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state ESTABLISHED
DROP all -- anywhere anywhere
[root@Jaking ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere
2 ACCEPT all -- localhost localhost
3 ACCEPT icmp -- anywhere anywhere icmp echo-request
4 ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
5 ACCEPT tcp -- anywhere anywhere tcp dpt:http
6 ACCEPT tcp -- anywhere anywhere tcp dpt:https
7 ACCEPT udp -- anywhere anywhere multiport dports http,https
8 ACCEPT tcp -- 192.168.1.63 anywhere tcp dpt:ssh
9 ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:ssh
10 ACCEPT udp -- 192.168.1.26 anywhere udp dpt:snmp
11 DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state ESTABLISHED
2 DROP all -- anywhere anywhere
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 192.168.1.63 tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.2.0/24 anywhere to:192.168.1.63
[root@Jaking ~]# iptables -t nat -L --line-number
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DNAT tcp -- anywhere 192.168.1.63 tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 SNAT all -- 192.168.2.0/24 anywhere to:192.168.1.63
iptables 的清空和恢复
[root@Jaking ~]# iptables -F
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@Jaking ~]# iptables -t nat -F
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
[root@Jaking ~]# iptables-restore < /etc/sysconfig/iptables
[root@Jaking ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- localhost localhost
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere multiport dports http,https
ACCEPT tcp -- 192.168.1.63 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:ssh
ACCEPT udp -- 192.168.1.26 anywhere udp dpt:snmp
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state ESTABLISHED
DROP all -- anywhere anywhere
[root@Jaking ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 192.168.1.63 tcp dpt:http to:192.168.2.2:80

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.2.0/24 anywhere to:192.168.1.63
总结
以上就是生产环境中超级实用的iptables脚本,这个脚本可以直接拿去用,不过请谨慎操作!

相关文章
|
安全 Linux 网络安全
百度搜索:蓝易云【linux iptables安全技术与防火墙】
请注意,iptables的具体使用方法和配置选项可能会有所不同,取决于Linux发行版和版本。管理员应该参考相关文档和资源,以了解适用于其特定环境的最佳实践和配置方法。
493 0
百度搜索:蓝易云【linux iptables安全技术与防火墙】
|
网络协议 Linux 网络安全
小白也能看懂的 iptables 防火墙
iptables是Linux中功能最为强大的防火墙软件之一 是一个在 Linux 系统上常用的防火墙工具,用于配置和管理网络数据包过滤规则。它可以通过定义规则集来控制进出系统的网络流量,实现网络安全策略
388 5
|
安全 Linux 网络安全
在Linux中,如何列出和删除 Iptables 防火墙规则?
在Linux中,如何列出和删除 Iptables 防火墙规则?
1203 0
|
网络协议 Linux 网络安全
Linux系列——关于防火墙iptables的常用命令
Linux系列——关于防火墙iptables的常用命令
|
3月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
239 73
|
2月前
|
监控 网络协议 Shell
ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
这是一个名为“小绿叶技术博客扫段攻击拦截系统”的Bash脚本,用于监控和拦截TCP攻击。通过抓取网络数据包监控可疑IP,并利用iptables和firewalld防火墙规则对这些IP进行拦截。同时,该系统能够查询数据库中的白名单,确保合法IP不受影响。此外,它还具备日志记录功能,以便于后续分析和审计。
54 6
|
4月前
|
存储 网络协议 Ubuntu
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
52 0
|
4月前
|
网络协议 Ubuntu Linux
Iptables 防火墙的工作原理
Iptables 防火墙的工作原理
52 0
|
7月前
|
网络协议 Linux 网络安全
iptables 与 firewalld 防火墙
iptables 与 firewalld 防火墙
|
安全 Linux 网络安全
百度搜索:蓝易云【服务器安全设置Centos7 防火墙firewall与iptables】
CentOS 7使用的默认防火墙是firewall,它是一种基于Netfilter的用户空间工具,用于管理Linux内核中的iptables规则。为了加强服务器的安全性,可以通过配置CentOS 7防火墙和iptables规则来保护服务器。
142 0