AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

iptables总结

2017-11-08 990
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
自己写了一个iptables,不知道如何?因为有bind服务,加上ftp服务,加上samba服务,加上httpd服务器端口是允许的。网友们多多提一下意见!
#!/bin/sh
# this is  command for NAT
service iptables restart
#start ip_forward 
echo 1 >/proc/sys/net/ipv4/ip_forward
#clean default set
iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X
iptables -Z -t nat
#setup filter table  ruler
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#accept protocol
modprobe ip_conntrack_ftp
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -i lo -p all -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 31337 -j DROP
iptables -A OUTPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p icmp -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.100.0/24 -j DROP
iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A OUTPUT  -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#start NAT 
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 192.168.20.xx
 [root@zh888 net]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW 
ACCEPT     all  -f  0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 100 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 10 
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:31337 
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:31337 
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 
[root@zh888 net]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.100.0/24     anywhere           
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.100.0/24     anywhere            to:192.168.20.xx
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 

本文转自zh888 51CTO博客,原文链接:http://blog.51cto.com/zh888/649572,如需转载请自行联系原作者

文章标签:
网络协议
Shell
科技小先锋
目录
相关文章
三分钟热度的鱼
|
Prometheus Kubernetes 监控
容器服务ACK常见问题之pod设置securityContext调整参数失败如何解决
容器服务ACK(阿里云容器服务 Kubernetes 版)是阿里云提供的一种托管式Kubernetes服务,帮助用户轻松使用Kubernetes进行应用部署、管理和扩展。本汇总收集了容器服务ACK使用中的常见问题及答案,包括集群管理、应用部署、服务访问、网络配置、存储使用、安全保障等方面,旨在帮助用户快速解决使用过程中遇到的难题,提升容器管理和运维效率。
三分钟热度的鱼
368 1
wljslmz
|
Rust 安全 编译器
如何在 Fedora 上安装 Rust?
如何在 Fedora 上安装 Rust?
wljslmz
356 0
如何在 Fedora 上安装 Rust?
find
|
索引
阿里云Debian源更新出错
Introduction 本文介绍了阿里云debian源更新出现404错误时的解决方案。 错误 W: 无法下载 http://mirrors.cloud.aliyuncs.com/debian/dists/jessie/updates/main/source/Sources 404 Not Found W: 无法下载 http://mirrors.
find
11946 0
技术员阿伟
|
11月前
|
人工智能 安全 算法
《开源与合作:驱动鸿蒙Next系统中人工智能技术创新发展的双引擎》
鸿蒙Next系统是一款创新性操作系统,为人工智能发展提供广阔舞台。开源特性打破封闭性,促进代码共享、知识传播与开发者创造力激发,助力快速搭建开发环境并提升AI训练效果。合作方面,通过产学研、企业间、国际合作及与开发者社区协作,实现优势互补,推动技术创新和应用落地,共同打造安全稳定且充满活力的AI生态,开创智能操作系统新时代。
技术员阿伟
228 14
鱼的爱情看不出泪水
|
5月前
|
网络协议 Ubuntu Linux
Wireguard in Linux的安装方法
本文介绍了如何在Ubuntu和Rocky Linux中安装配置WireGuard,并探讨了配置过程中可能出现的DNS泄露问题及解决方法,包括通过nmtui设置DNS及调整DNS优先级参数。
鱼的爱情看不出泪水
477 0
鱼的爱情看不出泪水
|
5月前
|
Ubuntu 数据安全/隐私保护 Docker
使用frp内网穿透
使用frp内网穿透
鱼的爱情看不出泪水
441 0
fazi
|
缓存 安全 网络协议
Envoy中Wasm Filter相关概念解释
本文旨在介绍Envoy中Wasm Filter相关概念,让用户对相关架构有更加深入的了解,可以快速开发出自己的Wasm插件。 阿里云服务网格(Service Mesh,简称ASM)提供一个全托管式的服务网格平台,兼容社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。 ASM支持Wasm插件。
fazi
679 3
唐家四少官微
|
弹性计算 Kubernetes 大数据
阿里云弹性扩容方案选择
阿里云弹性扩容方案选择
唐家四少官微
582 1
1780239283477192
|
网络协议 网络安全
关于wireguard异地组网
关于wireguard异地组网
1780239283477192
1187 0
探索云世界
|
Kubernetes Cloud Native 容器
全景剖析阿里云容器网络数据链路(六)—— ASM Istio
本文是[全景剖析容器网络数据链路]第六部分部分,主要介绍ASM Istio模式下,数据面链路的转转发链路。
探索云世界
1236 7
全景剖析阿里云容器网络数据链路(六)—— ASM Istio

热门文章

最新文章

  • 1
    OpenSearch大模型实践之Havenask篇
  • 2
    一文掌握:Gitlab的完整使用手册
  • 3
    java实现图片与base64转换
  • 4
    手机验证码登录
  • 5
    Pycharm2022最新版安装破解与激活教程,亲测可用
  • 6
    Java单元测试之 单元测试规范
  • 7
    Exchange 中关于邮件的生命周期和托管文件夹的相关设定
  • 8
    抽象工厂模式
  • 9
    Android按返回键(后退键)Back键事件捕获的两种方法
  • 10
    Linux下安装显卡Run格式
  • 1
    关于synchronized-reentrantlock-volatile学习总结1.0
    40
  • 2
    最新PyCharm 安装详细图文教程:小白也能轻松搞定
    73
  • 3
    用错工具比没工具更可怕:Ansible vs Terraform 实战对比,用最接地气的方式讲清楚
    61
  • 4
    别等系统报警了才想起 Trace!——分布式事务可观测性的那些坑与优化套路
    55
  • 5
    数据建模到底怎么稳?从维度建模聊到列式存储,让你的数据仓库飞起来!
    46
  • 6
    基于反馈循环的自我进化AI智能体:原理、架构与代码实现
    67
  • 7
    LLM为何难以胜任复杂任务?探索AI认知局限
    63
  • 8
    【Java架构师体系课 | MySQL篇】⑦ 深入理解MySQL事务隔离级别与锁机制
    52
  • 9
    阿里云服务器最便宜多少钱一年?38元一年,配置、价格及购买限制说明
    66
  • 10
    强化网站安全的利器(Nginx中如何正确配置HSTS安全头)
    47

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云负载均衡收费标准:ALB、NLB和CLB价格,包括LCU费用、实例费和公网带宽价格