谁分享一下你的iptables规则

gdtv · 发表于 2009-7-19 11:42:09

好像很少人讨论iptables啊，难道大家都开防火墙，都裸奔？

cpuer · 发表于 2009-7-19 11:54:36

原帖由 gdtv 于 2009-7-19 11:42 发表
好像很少人讨论iptables啊，难道大家都开防火墙，都裸奔？

这个问题不简单，需要高手来指导，freebsd对这个熟悉不？

gdtv · 发表于 2009-7-19 11:59:23

老大，我现在就问你的，你的linode VPS不开防火墙？

cpuer · 发表于 2009-7-19 12:10:05

原帖由 gdtv 于 2009-7-19 11:59 发表
老大，我现在就问你的，你的linode VPS不开防火墙？

开了，但是只做了非常基础的设置

gdtv · 发表于 2009-7-19 12:25:20

期待其他人分享

cpuer · 发表于 2009-7-19 12:35:11

原帖由 gdtv 于 2009-7-19 12:25 发表
期待其他人分享

可以参考下这里：http://www.linuxhomenetworking.c ... alls_Using_iptables

Turing · 发表于 2009-7-19 12:39:04

centos默认是关闭大部分端口的

gdtv · 发表于 2009-7-19 12:41:07

太复杂了，看不懂

gdtv · 发表于 2009-7-19 12:42:00

分享我找到的一个
下面的规则是禁止ping的，请问怎样修改成允许ping？

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-N LnD
-A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "[TCP drop] " --log-level=info
-A LnD -p udp -m limit --limit 1/s -j LOG --log-prefix "[UDP drop] " --log-level=info
-A LnD -p icmp -m limit --limit 1/s -j LOG --log-prefix "[ICMP drop] " --log-level=info
-A LnD -f -m limit --limit 1/s -j LOG --log-prefix "[FRAG drop] " --log-level=info
-A LnD -j DROP
#
# This custom chain logs, then REJECTs packets.
#
-N LnR
-A LnR -p tcp -m limit --limit 1/s -j LOG --log-prefix "[TCP reject] " --log-level=info
-A LnR -p udp -m limit --limit 1/s -j LOG --log-prefix "[UDP reject] " --log-level=info
-A LnR -p icmp -m limit --limit 1/s -j LOG --log-prefix "[ICMP reject] " --log-level=info
-A LnR -f -m limit --limit 1/s -j LOG --log-prefix "[FRAG reject] " --log-level=info
-A LnR -j REJECT
#
# This chain logs, then DROPs "Xmas" and Null packets which might
# indicate a port-scan attempt
#
-N ScanD
-A ScanD -p tcp -m limit --limit 1/s -j LOG --log-prefix "[TCP Scan?] "
-A ScanD -p udp -m limit --limit 1/s -j LOG --log-prefix "[UDP Scan?] "
-A ScanD -p icmp -m limit --limit 1/s -j LOG --log-prefix "[ICMP Scan?] "
-A ScanD -f -m limit --limit 1/s -j LOG --log-prefix "[FRAG Scan?] "
-A ScanD -j DROP
#
# This chain limits the number of new incoming connections to
# prevent DDoS attacks
#
-N DDoS
-A DDoS -m limit --limit 1/s --limit-burst 10 -j RETURN
-A DDoS -j LOG --log-prefix "[DOS Attack/SYN Scan?] "
-A DDoS -j DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
#
# Disallow packets frequently used by port-scanners
#
-A INPUT -p tcp --tcp-flags ALL NONE -j ScanD
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j ScanD
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j ScanD
-A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j ScanD
-A INPUT -p tcp --tcp-flags ACK,FIN FIN -j ScanD
-A INPUT -p tcp --tcp-flags ACK,PSH PSH -j ScanD
-A INPUT -p tcp --tcp-flags ACK,URG URG -j ScanD
-A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j DDoS
-A INPUT -p ICMP --icmp-type 4 -s 0.0.0.0/0 -j ACCEPT
-A INPUT -p ICMP --icmp-type 12 -s 0.0.0.0/0 -j ACCEPT
-A INPUT -p ICMP --icmp-type 3 -s 0.0.0.0/0 -j ACCEPT
-A INPUT -p ICMP --icmp-type 11 -s 0.0.0.0/0 -j ACCEPT
#
# (0 | 8) Allow OUTPUT pings to anywhere.
#
-A INPUT -p ICMP --icmp-type 0 -s 0.0.0.0/0 -j ACCEPT
#
# AUTH (113) - Allowing your outgoing AUTH requests as a client
#
-A OUTPUT -p tcp --sport 1024: --dport 113 -d 0.0.0.0/0 -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 113 --dport 1024: -s 0.0.0.0/0 -j ACCEPT
#
# http client
#
-A INPUT -p tcp -m multiport --sports http,https,webcache -m tcp --dport 1024: -m state --state ESTABLISHED -j ACCEPT
#
# http server
#
-A INPUT -p tcp -m tcp --sport 1024: -m multiport --dports http,https,webcache -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024: -m multiport --dports ftp,ftp-data -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp --sport 53 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 53 --dport 1024: -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m multiport --sports smtp,22 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state INVALID,NEW -j LOG --log-prefix "iptables(ssh connection): "
-A INPUT -s 0.0.0.0/0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 0.0.0.0/0 -p tcp -m tcp --dport 9878 -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

复制代码

来自 http://blog.19lou.com/10606184/viewspace-1155044

cpuer · 发表于 2009-7-19 12:42:38

原帖由 gdtv 于 2009-7-19 12:41 发表
太复杂了，看不懂

慢慢看，慢慢理解，很多东西我也看不懂。

		自动登录	找回密码
密码			注册

谁分享一下你的iptables规则

回复 2# 的帖子

回复 4# 的帖子

回复 6# 的帖子

浏览过的版块