防火墙初始化脚本iptables.sh的示例代码-创新互联
这篇文章给大家分享的是有关防火墙初始化脚本iptables.sh的示例代码的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
创新互联的客户来自各行各业,为了共同目标,我们在工作上密切配合,从创业型小企业到企事业单位,感谢他们对我们的要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。专业领域包括成都做网站、成都网站建设、电商网站开发、微信营销、系统平台开发。#!/bin/bash path=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin export path ## WEB服务器,开启80.443端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT ## zabbix服务器,开启10050:10051端口 iptables -A INPUT -p tcp --dport 10050:10051 -j ACCEPT ###redis server服务默认端口6379的命令 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT #数据库服务器,开启3306端口 iptables -A INPUT -p tcp --dport 3306 -j ACCEPT #允许的本机SSH服务 iptables -A INPUT -p TCP --dport 1314 -j ACCEPT #允许的本机rsync服务 iptables -A INPUT -p TCP --dport 873 -j ACCEPT ###允许icmp包通过,也就是允许ping iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT ### 允许loopback!(不然会导致DNS无法正常关闭等问题) iptables -A INPUT -i lo -p all -j ACCEPT iptables -A OUTPUT -o lo -p all -j ACCEPT #### 减少不安全的端口连接, ### 有些些特洛伊***会扫描端口31337到31340(即***语言中的 elite 端口)上的服务 iptables -A OUTPUT -p tcp --sport 31337:31340 -j DROP iptables -A OUTPUT -p tcp --dport 31337:31340 -j DROP ###处理IP碎片数量,防止***,允许每秒100个 iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT ### 设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包 iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT ### drop非法连接 iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP #### 允许所有已经建立的和相关的连接 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ####丢弃坏的TCP包 iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP ####防止SYN*** 轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT ####防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ####用Iptables抵御DDOS (参数与上相同) iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT #####控制单个IP在一定的时间(比如60秒)内允许新建立的连接数 iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT ####控制单个IP的大并发连接数 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT ##### 黑名单 #/sbin/iptables -A INPUT -s 1.1.1.0/24 -j DROP #/sbin/iptables -A INPUT -s 1.1.1.0 -j DROP ##### 白名单 #/sbin/iptables -A INPUT -s 1.1.1.1/24 -j ACCEPT # 信任的网络 #/sbin/iptables -A INPUT -s 1.1.1.1 -j ACCEPT # 信任的ip /etc/rc.d/init.d/iptables save #/etc/rc.d/init.d/iptables restart
感谢各位的阅读!关于“防火墙初始化脚本iptables.sh的示例代码”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
标题名称:防火墙初始化脚本iptables.sh的示例代码-创新互联
分享地址:http://myzitong.com/article/gohge.html