WenRou's Blog

新浪微薄腾讯微薄

最新碎语:测试图片碎语哦

您的位置:WenRou's Blog >lnamp> linux/Centos下常用的防火墙iptalbes规则

linux/Centos下常用的防火墙iptalbes规则

service iptables stop


 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 iptables -P OUTPUT ACCEPT

 iptables -A INPUT -p tcp --dport 21 -j ACCEPT
 iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 iptables -I INPUT -p tcp --dport 35000:35999 -j ACCEPT

service iptables save
service iptables restart

 

为了防止PHP木马往外发UDP包可以设置

iptables -A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j ACEEPT

iptables -A OUTPUT -p udp -d 8.8.4.4 --dport 53 -j ACEEPT

iptables -A OUTPUT -p udp -j DROP

 

如果保存重启iptables之后发现无法PING外网,可继续添加

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

以上这2条规则必须添加,缺一不可,不然就PING 外网就找不到解析的DNS

 

最后规则内容为

 

# Generated by iptables-save v1.4.7 on Sat Nov 15 08:51:39 2014
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 35000:35999 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j DROP
-A OUTPUT -d 8.8.8.8/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -d 8.8.4.4/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Nov 15 08:51:39 2014

---

转载请注明本文标题和链接:《linux/Centos下常用的防火墙iptalbes规则

发表评论

43 + 9 =
路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交