Centos下lnmp正确iptables配置规则

  • A+
所属分类:LNMP

查看iptables是否运行,查看iptable运行状态

service iptables status

清除已有规则

iptables -F;iptables -X;iptables -Z

开放端口

#允许本地回环接口(即运行本机访问本机) && 允许已建立的或相关连的通行
iptables -A INPUT -i lo -j ACCEPT;iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许http访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许https访问443端口

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#开启NFS端口,注意IP更换为对方IP

iptables -A INPUT -p tcp -s 108.61.246.224 -m multiport --dport 111,2049,1001,1002,30001 -j ACCEPT
iptables -A INPUT -p udp -s 108.61.246.224 -m multiport --dport 111,2049,1001,1002,30001 -j ACCEPT

#允许本地访问MySQL3306端口,禁止外部访问

iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT;iptables -A INPUT -p tcp --dport 3306 -j DROP

#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT;iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#允许安全宝监控的udp 161端口,XX.XX.XX.XX为你服务器的IP

iptables -I INPUT -p udp -s 60.195.252.107 --dport 161 -j ACCEPT
iptables -I INPUT -p udp -s 60.195.252.110 --dport 161 -j ACCEPT
iptables -I INPUT -p udp -s XX.XX.XX.XX --dport 161 -j ACCEPT
iptables -I INPUT -p udp -s 127.0.0.1 --dport 161 -j ACCEPT

#如果有其他端口的话,规则也类似,稍微修改上述语句就行
PS: 若网站服务器用的360的免费监控服务,将上述安全宝规则更换为以下规则:

iptables -A INPUT -i eth0 -p udp -s 101.199.100.150 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 220.181.150.98 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 180.153.229.230 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 220.181.150.125 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 103.28.11.237 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 103.28.10.244 --dport 161 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 103.28.10.245 --dport 161 -j ACCEPT

#允许ping

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#(如果启用memcache或者memcached)禁止外部访问memcached

iptables -A INPUT -p tcp --dport 11211 -j DROP
iptables -A INPUT -p udp --dport 11211 -j DROP

#(如果启用redis)只允许本机127.0.0.1访问redis的6379端口,禁止外部访问

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -p TCP --dport 6379 -j REJECT

#禁止其他未允许的规则访问(注意:如果22端口未加入允许规则,SSH链接会直接断开。)

iptables -A INPUT -j REJECT;iptables -A FORWARD -j REJECT

 

查看已添加的iptables规则

iptables -L -n

将所有iptables以序号标记显示

iptables -L -n --line-numbers

删除INPUT里序号为3的规则

iptables -D INPUT 3

保存规则
CentOS上可能会存在安装好iptables后,iptables并不开机自启动,可以执行一下:

chkconfig --level 345 iptables on

保存并重启iptable

service iptables save;service iptables restart

屏蔽IP
#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

#封整个段即从123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

#封IP段即从123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

#封IP段即从123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  0   小编  0   引用   2

    来自外部的引用: 2

    • nginx做静态文件下载服务器之安装与配置-老牛博客
    • 如何通过netstat查看是否被ddos攻击-老牛博客