大家一般怎么设置 iptables 规则?

This topic created in 3977 days ago, the information mentioned may be changed or developed.

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m multiport --destination-ports 22,80,443,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --destination-ports 53 -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

service iptables save
service iptables restart

献丑了...

iptables

input

6 replies • 2015-07-25 15:05:23 +08:00

ryd994

Jul 25, 2015

都用firewalld了……
都用firewalld了……
都用firewalld了……

善用comment
没必要一个个判断state，连接多的时候判断state的开销还是很大的，开一个chain
别全用multiport混到一起，增删的时候一手贱就悲剧了
如果机房不靠谱的话不要drop而要reject with rst。有被伪造ip的可能。不过现在都不是光用ip做访问控制，而且机房也不至于干什么，所以没什么必要
先flush的话，遇到默认drop的就悲剧了，属于坑自己
还有你开53干嘛？等着被人用来放大么……

:INPUT DROP [816146:72864161]
:FORWARD ACCEPT [26032234:15223215841]
:OUTPUT ACCEPT [63339381:62088561409]
:new_input - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -m comment --comment ipsec -j ACCEPT
-A INPUT -p gre -m comment --comment pptp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -j new_input
-A new_input -p tcp -m tcp --dport 22 -j ACCEPT
-A new_input -p tcp -m tcp --dport 80 -j ACCEPT
-A new_input -p tcp -m tcp --dport 1723 -m comment --comment pptp -j ACCEPT
-A new_input -p udp -m udp --dport 60000:60005 -m comment --comment mosh -j ACCEPT
-A new_input -p udp -m multiport --dports 500,1701,4500 -m comment --comment l2tp_ipsec -j ACCEPT
-A new_input -p tcp -m tcp --dport 8388 -m comment --comment shadowsocks -j ACCEPT